Jnic2015 PDF

RIASC, Universidad de Leon INCIBE
ACTAS DE LAS PRIMERAS

JORNADAS
NACIONALES DE
INVESTIGACION EN
CIBERSEGURIDAD
Leon. 14, 15, 16 de septiembre 2015

Jornadas Nacionales de Investigacion en Ciberseguridad (1a . 2015. Leon)
Actas de las primeras Jornadas Nacionales de Investigacion en Ciberseguridad .

Leon, 14, 15, 16 de septiembre de 2015 : I JNIC2015 [Leon] : Universidad de Leon,
Area de Publicaciones, 2015
1 recurso en lnea (XI, 211 p)
Indice. En la port.: RIASC, Universidad de Leon, INCIBE. Bibliograf..
Textos en espanol e ingles. Ttulo tomado de la portada del PDF
ISBN 978-84-9773-742-5
1. Informatica-Seguridad-Medidas-Investigacion-Congresos. 2. Internet-
Seguridad-Medidad-Investigacion-Congresos. 3. Proteccion de la informacion
(Informatica)-Investigacion-Congresos. I. Universidad de Leon. Area de Publicaciones.
II. Instituto Nacional de Ciberseguridad. III. Research Institute of Applied Sciences in
Cybersecurity
004.738.5.056:001.891(063)
001.891(063):004.738.5.056
004.056:001.891(063)
001.891(063):004.056
c
Universidad de Leon
Area de Publicaciones
c
RIASC, Universidad de Leon INCIBE
Esta permitida la descarga y la reproduccion total o parcial de esta obra y

y su difusion siempre y cuando sea para uso personal o academico.
Los derechos de autor de cada contribucion individual corresponden a sus autores.
ISBN: 978-84-9773-742-5
JNIC2015
Prefacio
Las Jornadas Nacionales de Investigacion en Ciberseguridad nacen este ano 2015 en el seno de los
grupos de trabajo fomentados por el Instituto Nacional de Ciberseguridad INCIBE que es tambien
co-organizador del evento junto con el Instituto de Ciencias Aplicadas a la Ciberseguridad (Research
Institute of Applied Sciences in Cybersecurity, RIASC) de la Universidad de Leon.
Se ha hecho un gran esfuerzo por parte de todos los integrantes de los grupos de trabajo para
que la primera edicion tenga lugar este mismo ano. Tambien nacen con vocacion de continuidad y
con el objetivo claro de fomentar un lugar de encuentro estable en Espana para los investigadores en
ciberseguridad.
Finalmente se tiene un completo programa con diez sesiones que abarcan los siguientes temas:
Primera sesion: Vulnerabilidades, malware y exploits 1
Segunda sesion: Artculos cortos - Vulnerabilidades, Malware y exploits
Tercera sesion: Seguridad, ataques y contramedidas
Cuarta sesion: Seguridad en redes
Quinta sesion: Artculos cortos - Seguridad en Redes, ataques, contramedidas y criptografa
Sexta sesion: Vulnerabilidades, malware y exploits 2
Septima sesion: Privacidad, Criptografa y autentificacion
Octava Sesion: Temas relacionados con la ciberseguridad
Novena sesion: Ciberseguridad en Industria
Decima sesion: Innovacion docente en ciberseguridad
Las sesiones de las Jornadas se celebran en la Real Colegiata de San Isidoro, en Leon, los das 14, 15
y 16 de septiembre. Esperamos sinceramente que estos das sean productivos para todos los asistentes.
Leon, 11 de septiembre de 2015 El Comite Editorial

Miguel V. Carriegos
i
JNIC2015
Comite ejecutivo
Gilles Barthe IMDEA Software Institute

Jose Bernabeu Auban Universitat Politecnica de Valencia
Miguel V. Carriegos Universidad de Leon
Luis Castillo Universidad de Granada
Antonio Fernandez-Anta IMDEA Networks Institute
Pablo Garca Bringas DeustoTech, Universidad de Deusto
Pedro Garca-Teodoro Universidad de Granada
Angel Gomez de Agreda Mando Conjunto de Ciberdefensa
Santos Gonzalez Universidad de Oviedo
Javier Lopez Universidad de Malaga
Mario Piattini Universidad de Castilla-La Mancha
Antonio Ramos MundoHacker
Raul Riesco Granadinos Instituto Nacional de Ciberseguridad
Jose Mara Sierra Camara Universidad Carlos III de Madrid
Miquel Soriano Universitat Politecnica de Catalunya
Carmela Troncoso Gradiant - Centro Tecnologico de Telecomunicaciones de Galicia
Vctor A. Villagra Universidad Politecnica de Madrid
ii
JNIC2015
Comite organizador
General Chair
Javier Alonso Universidad de Leon
Program Chairs
Migue V. Carriegos Universidad de Leon
Ramon Angel Fernandez Daz Universidad de Leon
Financial Chair
Adriana Suarez Corona Universidad de Leon
Workshop Chair
Industrial Track Chair

Ignacio Cano Instituto Nacional de Ciberseguridad
Education & Innovation Track

Chair
Gregorio Martnez Perez Universidad de Murcia
Challenges Track Chair

Juan Tapiador Universidad Carlos III de Madrid
Students Session Chair

Juan Caballero IMDEA Software Institute
Publication Chairs
Juan Felipe Garca Sierra Universidad de Leon
Jorge Lorenzana Tamargo Universidad de Leon
Publicity Chairs
Paolo Casari IMDEA Networks Institute
Igor Santos DeustoTech, Universidad de Deusto
Local Arrangement Chairs

Juan Felipe Garca Sierra Universidad de Leon
Ricardo J. Rodrguez Universidad de Leon
Web Master
Sara Isabel Gonzalez Universidad de Leon
Jorge Lorenzana Tamargo Universidad de Leon
iii
JNIC2015
Comite de programa
chair: Miguel V. Carriegos Universidad de Leon

chair: Ramon Angel Fernandez Universidad de Leon
Isaac Agudo Universidad de Malaga
Cristina Alcaraz Universidad de Malaga
Enrique Alegre Gutierrez Universidad de Leon
Javier Alonso Universidad de Leon
Rafael Ignacio Alvarez Sanchez Universidad de Alicante
Inaki Arenaza Universidad de Mondragon
Patricia Arias Cabarcos Universidad Carlos III de Madrid
Simona Bernardi Centro Universitario de la Defensa
Alvaro Botas Universidad de Leon
Juan Caballero IMDEA Software Institute
Pino Caballero Gil Universidad de La Laguna
Jordi Castella-Roca Universitat Rovira i Virgili
Josep Domingo-Ferrer Universitat Rovira i Virgili
Jose-Luis Ferrer-Gomila Universidad de las Islas Baleares
Dario Fiore IMDEA Software Institute
David G. Rosado Universidad de Castilla-La Mancha
Juan F. Garca Universidad de Leon
Luis Javier Garca Villalba Universidad Complutense de Madrid
Mara Isabel Gonzalez Vasco Universidad Rey Juan Carlos
Juan Hernandez-Serrano Universitat Politecnica de Catalunya
Boris Kopf IMDEA Software Institute
Olga Leon Universitat Politecnica de Catalunya
Javier Lopez Universidad de Malaga
Gabriel Lopez Millan Universidad de Murcia
Andres Marn Lopez Universidad Carlos III de Madrid
Angel Martn del Rey Universidad de Salamanca
Gregorio Martnez Perez Universidad de Murcia
David Megas Universitat Oberta de Catalunya
Alfonso Munoz Criptored, Universidad Politecnica de Madrid
Guillermo Navarro Universidad Autonoma de Barcelona
Jorge Ramio Universidad Politecnica de Madrid
Sergi Robles Universidad Autonoma de Barcelona
Ricardo J. Rodrguez Universidad de Leon
Antonio Ruiz Martnez Universidad de Murcia
Manuel Sanchez Rubio Universidad de Alcala
Ana Lucila Sandoval Orozco Universidad Complutense de Madrid
Igor Santos DeustoTech, Universidad de Deusto
Juan Tapiador Universidad Carlos III de Madrid
Juan Tena Universidad de Valladolid
Salvador Trujillo IKERLAN Research Centre
Juan Vera Del Campo Universitat Politecnica de Catalunya
Alexandre Viejo Universitat Rovira i Virgili
iv
JNIC2015
Vctor A. Villagra Universidad Politecnica de Madrid

Antonio Zamora Gomez Universidad de Alicante
Urko Zurutuza Universidad de Mondragon
v
JNIC2015
Revisores adicionales
Carles Angles
Vicenc Creus
Eduardo Fidalgo Fernandez
Francisco Martn-Fernandez
Jose Luis Montero
Ana Nieto
vi
JNIC2015
Contenidos
Primera sesion: Vulnerabilidades, malware y exploits 1
Propagacion del malware: nuevos modelos para nuevos escenarios . . . . . . . 1

A. Martn del Rey, A. Hernandez Encinas, J. Martn Vaquero, A.
Queiruga Dios and G. Rodrguez Sanchez
Sistema de Deteccion de Intrusos aplicando Seleccion Negativa en

Perfiles de Usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Cesar Guevara, Matilde Santos and Victoria Lopez
Segunda sesion: Artculos cortos: Vulnerabilidades, Malware y

exploits
The Attack of the Clones: A Study of the Impact of Shared Code on

Vulnerability Patching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Antonio Nappa, Richard Johnson, Leyla Bilge, Juan Caballero and Tu-
dor Dumitras
Experiences on NFC Relay Attacks with Android: Virtual Pickpocketing

Revisited . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Jose Vila and Ricardo J. Rodrguez
CARONTE : Detecting Location Leaks for Deanonymizing Tor Hidden

Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Srdjan Matic, Platon Kotzias and Juan Caballero
Prevencion de ataques ROP mediante Instrumentacion Dinamica . . . . . . . 20

Miguel Martn Perez, Ricardo J. Rodrguez and Vctor Vinals
Robustenciendo Apache frente a ataques de desbordamiento de pila . . . . . 22

Hector Marco and Ismael Ripoll
Prevencion de explotacion de vulnerabilidades mediante diversificacion

por emulacion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Ismael Ripoll and Hector Marco
Tercera sesion: Seguridad, ataques y contramedidas
Sistema Inmunitario Adaptativo para la mitigacion de ataques de

Denegacion de Servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Jorge Maestre Vidal, Ana Lucila Sandoval Orozco and Luis Javier
Garca Villalba
La utilizacion de herramientas de monitorizacion de usuarios como base

para el perfilado de identidades en fuentes abiertas: OSRFramework . . . . . 32
Yaiza Rubio and Felix Brezo
vii
JNIC2015
Neural Networks applied to the learning process of Automated

Intrusion Response systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Pilar Holgado and Victor A. Villagra
Spam Honeypots in Cloud Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Carlos Cilleruelo Rodrguez, Alberto Cuesta Parejo and Manuel Sanchez
Rubio
Cuarta sesion: Seguridad en redes

Security via Underwater Acoustic Networks: the Concept and Results
of the RACUN Project . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Paolo Casari, Joerg Kalwa, Michele Zorzi, Stefano Nasta, Sabrina
Schreiber, Roald Otnes, Paul van Walree, Michael Goetz, Arwid Komu-
lainen, Bernt Nilsson, Jan Nilsson, Tommy Oberg, Ivor Nissen, Henrik
Strandberg, Henry Dol, Geert Leus and Francesco Pacini
Sistema visual de monitorizacion de seguridad de flujos de red industriales 59

Mikel Iturbe, Inaki Garitano, Urko Zurutuza and Roberto Uribeetxeber-
ria
Correlacion de alertas en la deteccion de malware en redes basada en
anomalas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Jorge Maestre Vidal, Ana Lucila Sandoval Orozco and Luis Javier
Garca Villalba
Quinta sesion: Artculos cortos: Seguridad en Redes, ataques,

contramedidas y criptografa
Rational Protection Against Timing Attacks . . . . . . . . . . . . . . . . . . . . . . . . . 72
Goran Doychev and Boris Kopf
Resource Monitoring for the Detection of Parasite P2P Botnets . . . . . . . . . 74
Rafael A. Rodrguez-Gomez, Gabriel Maca-Fernandez and Pedro Garca-
Teodoro
Multigraph Project: First Steps towards the Definition of a Multiple
Attack Graph Model Simulator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Mattia Zago, Juan Jose Andreu Blazquez, Manuel Gil Perez and Gre-
gorio Martnez Perez
Seguridad definida por software en subestaciones electricas . . . . . . . . . . . . . 78

Elas Molina, Armando Astarloa and Eduardo Jacob
VERITAS: Visualizacion de Eventos en Red Inteligente para el
Tratamiento y Analisis de la Seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Jose Camacho, Gabriel Macia-Fernandez, Pedro Garca-Teodoro and
Roberto Theron
viii
JNIC2015
Security services as cloud capabilities using MAS . . . . . . . . . . . . . . . . . . . . . 82

Fernando De La Prieta, Luis Enrique Corredera de Colsa, Alberto
Lopez Barriuso and Juan M. Corchado
Programmable Hash Functions go Private: Contructions and
Applications to (Homomorphic) Signatures with Shorter Public Keys . . . . 84
Dario Catalano, Dario Fiore and Luca Nizzardo
Certified PUP: Abuse in Authenticode Code Signing . . . . . . . . . . . . . . . . . . 86

Platon Kotzias, Srdjan Matic, Richard Rivera and Juan Caballero
Aplicacion del cifrado con preservacion del formato para eventos de
ciberseguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
L. Gonzalez Manzano, J. M. de Fuentes and V. Gayoso Martnez
Modelling ephemeral leakage in group key exchange protocols . . . . . . . . . . . 90
Mara Isabel Gonzalez Vasco, Angel L. Perez del Pozo and Adriana
Suarez Corona
Sexta sesion: Vulnerabilidades, malware y exploits 2

Deteccion de funciones inseguras en repositorios de software libre . . . . . . . 92
Alfonso Munoz Munoz and Pablo Gonzalez Perez
Ingeniera inversa: metodos utilizados y analisis de tecnicas para la

proteccion de software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Alberto Garca Moro and Vctor A. Villagra Gonzalez
Prototipado rapido de un analizador de malware para Android
empleando Razonamiento Basado en Casos . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Francisco J. Ribadas-Pena and Manuel Banobre-Gomez
Septima sesion: Privacidad, Criptografa y autentificacion

Informing Protocol Design Through Crowdsourcing: the Case of
Pervasive Encryption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Anna Maria Mandalari, Marcelo Bagnulo and Andra Lutu
Cifrado de datos con preservacion del formato . . . . . . . . . . . . . . . . . . . . . . . . 110
V. Gayoso Martnez, L. Hernandez Encinas, A. Martn Munoz, J. M.
de Fuentes and L. Gonzalez Manzano
Codigos monomiales vistos como subespacios vectoriales invariantes . . . . . 116
M. I. Garca Planas, M. D. Magret and L.E. Um
Octava Sesion: Temas relacionados con la ciberseguridad

Towards Automatic Integration of Information Security Governance
and Management using a BPMS approach . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
Angel J. Varela Vaca and Rafael M. Gasca
ix
JNIC2015
Evolving from a static toward a proactive and dynamic risk-based

defense strategy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Pilar Holgado, Manuel Gil Perez, Gregorio Martnez Perez and Vctor
A. Villagra
How to find an image despite it has been modified . . . . . . . . . . . . . . . . . . . . 137

Diego Garca Ordas, Laura Fernandez Robles, Mara Teresa Garca
Ordas, Oscar Garca-Olalla Olivera and Enrique Alegre
Inseguridad en infraestructuras crticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

Manuel Sanchez Rubio, Jose Miguel Gomez-Casero Marichal and Car-
los Cilleruelo Rodrguez
Novena sesion: Ciberseguridad en Industria
Reto en ciberseguridad: analisis forense de discos . . . . . . . . . . . . . . . . . . . . . . 148

Andres Caro
Research-to-market transition in European Cybersecurity Projects . . . . . . 156

Aljosa Pasic
Cyber Ranges for Cybersecurity Training: Challenges and Novel

Approaches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
Jorge Lopez Hernandez-Ardieta, Pascual Parra Lopez, David Santos
Esteban and Javier Martnez-Torres
Metodologa para el Analisis, Auditora de Seguridad y Evaluacion

del Riesgo Operativo de Redes Industriales y Sistemas SCADA
(MAASERISv2.1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
Fernando Sevillano and Marta Beltran
Decima sesion: Innovacion docente en ciberseguridad
Repositorio de actividades autonomas para la docencia de seguridad en

sistemas informaticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
Francisco J. Ribadas-Pena, Ruben Anido-Bande and Vctor M. Darriba-
Bilbao
Experiencias actualizando la asignatura de Seguridad Informatica para

los grados de Ingeniera Informatica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
Marta Beltran and Isaac Martn de Diego
Laboratorio Docente de Ciberseguridad basado en live-USB . . . . . . . . . . . . 182

Rafael A. Rodrguez-Gomez, Francisco Lopez Perez, Mara Guarnido
Ayllon, Monica Leyva Garca, Anabel Reyes Maldonado, Antonio Munoz
Gijon, Jose Enrique Cano and Jose Camacho
x
JNIC2015
Bachillerato de Excelencia, Criptografa y Seguridad de la Informacion:

Una oportunidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Angel Martn del Rey, Ascension Hernandez Encinas, Jesus Martn
Vaquero, Araceli Queiruga Dios and Gerardo Rodrguez Sanchez
Graduate studies in Cyber-Security: A proposal . . . . . . . . . . . . . . . . . . . . . . . 195
Juan F. Garca, Javier Alonso and Miguel V. Carriegos
Una apuesta por la educacion en ciberseguridad desde el ambito

universitario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
Andres Caro
Una propuesta para la ensenanza de la Ciberseguridad en el Grado de
Ingeniera Informatica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Jose Antonio Gomez Hernandez
xi
JNIC2015 Primera sesion: Vulnerabilidades, malware y exploits 1
1
Propagacion del malware: nuevos modelos para

nuevos escenarios
A. Martn del Rey, A. Hernandez Encinas, J. Martn Vaquero,
A. Queiruga Dios, G. Rodrguez Sanchez
Departamento de Matematica Aplicada, Universidad de Salamanca, Salamanca, Espana.
Resumen La mayor parte de los modelos matematicos malware. Estos nos proporcionaran herramientas muy uti-
desarrollados para estudiar y simular la propagacion del les a la hora no solo de entender el comportamiento del
malware son modelos globales; es decir, no tienen en cuen-
ta las caractersticas individuales de los dispositivos que malware en su propagacion, sino tambien en la simula-
forman parte del medioambiente en el que se produce la cion de posibles medidas de control (que ayuden a tomar
infeccion. En los nuevos escenarios que se plantean (Inter- decisiones para contener la epidemia).
net de las Cosas, SmartCities, etc.), en los que la conectividad
global es poco menos que un axioma, estos modelos presen- En la literatura cientfica se pueden encontrar muchos
tan serias deficiencias. El objetivo de este trabajo es poner modelos propuestos cuya finalidad es tratar de simular la
de manifiesto de manera justificada dichas deficiencias y propagacion de malware, ya sea sobre redes de ordenado-
proponer los modelos individuales como alternativa.
res o sobre redes de dispositivos moviles (vease, por ejem-
plo [4], [5], [6]). La inmensa mayora de los mismos son
I. Introduccion modelos deterministas basados en sistemas de ecuaciones
diferenciales ordinarias ([7], [8]). Se trata de modelos pura-
El gran desarrollo cientfico y tecnologico de los ultimos
mente teoricos de manera que, en casi todos los casos, su
anos ha dado lugar a nuevos paradigmas como la Internet
objetivo es el estudio cualitativo del sistema de ecuaciones
de las Cosas, el BYOD, las SmartCities, la telemedicina,
diferenciales que rige la dinamica. Debido a su naturaleza
los medios de transporte inteligentes, las viviendas inteli-
presentan tres importantes inconvenientes [9]:
gentes, etc. Estos conceptos estan aun dando sus primeros
pasos y, aunque actualmente su nivel de implantacion no (1) No tienen en cuenta las interacciones locales entre los
es muy alto, seran los pilares sobre los que se cimente nues- distintos dispositivos de la red.
tra futura sociedad. En este sentido, no parece arriesgado (2) Suponen que los dispositivos se encuentran ho-
decir que en ella la conectividad sera global, de manera mogeneamente conectados y distribuidos.
que la mayor parte de los aspectos de nuestra vida los (3) No tienen en cuenta las caractersticas individuales de
podremos controlar de manera remota. cada uno de los dispositivos.
Los instrumentos tecnologicos gracias a los cuales este En el nuevo escenario que se vislumbra (y que se pu-
nuevo escenario sera una realidad no son solo las compu- so de manifiesto al principio de esta seccion), es necesario
tadoras sino tambien los dispositivos moviles (tabletas, tener en cuenta todos estos condicionantes ya que exis-
telefonos inteligentes,...), los dispositivos wereables, los ten multiples tipos de dispositivos conectados, cada uno
electrodomesticos inteligentes, etc. de ellos con unos roles y caractersticas muy especficas
Desafortunadamente este idlico paraso tecnologico no que deben ser tenidas en cuenta a la hora de disenar un
se encuentra exento de amenazas. Sin duda, la mas impor- modelo epidemiologico eficiente. Ello se puede conseguir si
tante es la debida a la accion del codigo malicioso (tam- se utiliza un paradigma diferente: el de los modelos indi-
bien conocido como malware, su acronimo en Ingles). viduales. En ellos, se considera un conjunto de entidades
Los costes que ocasiona tanto economicos como sociales e individuales que representaran a los actores involucrados
incluso polticos son cuantiosos, con lo que la lucha contra en el fenomeno de la propagacion del malware, se definen
el mismo supone uno de los grandes retos de la Ciberse- sus relaciones y especificaciones en relacion al codigo ma-
guridad. licioso, y se construyen las reglas de transicion entre los
Esta lucha se lleva a cabo en diferentes frentes: des- distintos estados. Los resultados que se obtienen muestran
de la concienciacion del usuario para que adopte medidas tanto la evolucion individual de cada uno de los dispositi-
de seguridad oportunas hasta la adopcion e implantacion vos como la evolucion global del sistema.
de polticas de seguridad adecuadas en los distintos or- El objetivo de este trabajo es poner de manifiesto la
ganismos y companas, pasando por el desarrollo de soft- necesidad de la busqueda de nuevos modelos para hacer
ware antivirus por parte de las empresas especializadas. frente a los nuevos escenarios planteados. Para ello se pro-
Ademas la comunidad cientfica ha prestado especial aten- pondra y estudiara un modelo determinista basado en un
cion al diseno de metodos y algoritmos para detectar la sistema de ecuaciones diferenciales ordinarias, y posterior-
presencia de malware en los distintos dispositivos ([1], [2], mente se introducira el correspondiente modelo individual.
[3]). Aunque esta es una lnea de actuacion fundamen- El resto del trabajo se organiza como sigue: en la seccion
tal, hemos de considerar tambien como actuacion comple- 2 se hace una breve introduccion a los modelos individua-
mentaria el desarrollo de modelos matematicos que nos les; el modelo determinista y su contrapartida individual
permitan simular el comportamiento de una epidemia de se introducen y estudian en la seccion 3, y finalmente las
1
2
conclusiones se presentan en la seccion 4. Se pueden integrar datos de distinta naturaleza, de ma-

nera que es posible ejemplificar y probar hipotesis.
II. Los modelos individuales: una breve Por otra parte, entre las desventajas de utilizar estos
introduccion modelos podemos mostrar las siguientes:
Los modelos de naturaleza individual se fundamentan Son sensibles a pequenas variaciones de las condiciones
en una tecnica de modelizacion matematica cuyo objetivo iniciales de las reglas de transicion.
es el estudio de diferentes tipos de fenomenos complejos Dependiendo de la complejidad del fenonemo que se
mediante la modelizacion de los mismos como sistemas quiera simular, es posible que haya que calcular un gran
evolutivos formados por entidades individuales que inter- numero de simulaciones para obtener los patrones genera-
actuan entre s de manera autonoma [10]. les de comportamiento.
Esta metodologa se basa en la interaccion local de en-
tidades individuales sobre un espacio y tiempo discretos, III. Descripcion de los modelos
de manera que se obtengan patrones de comportamiento Los dos modelos matematicos propuestos en este traba-
colectivo. As, en cada instante de tiempo toda entidad jo para estudiar y simular la propagacion del malware son
se encuentra en un estado determinado que va cambiando modelos compartimentales de manera que los dispositivos
de acuerdo a una determinada regla de transicion local. se dividen en los siguientes cuatro tipos:
Usualmente las variables de dicha funcion de transicion (1) Dispositivos susceptibles: aquellos que no han sido in-
son los estados de otras entidades vecinas en instantes fectados pero que pueden serlo en un futuro.
previos de tiempo. Los principales ejemplos de modelos (2) Dispositivos infectados: aquellos que han sido infecta-
individuales son los modelos basados en automatas celu- dos por el malware y que son capaces de transmitirlo. Se
lares [11] y los modelos basados en agentes [12]. dividen a su vez en:
La nocion de automata celular (AC) fue introducida en (i) Dispositivos portadores: aquellos que han sido infec-
la decada de los 40 por J. Von Neumann y S. Ulam. Un tados pero no sufren danos ya que su sistema operativo es
AC se puede definir como un tipo particular de maquina distinto del atacado por el malware.
de estados finitos formada por un numero finito de identi- (ii) Dispositivos infecciosos: dispositivos infectados cuyo
cas unidades de memoria llamadas celulas (las entidades sistema operativo es el blanco de los ataques del codigo
individuales) que se encuentran dispuestas e interconec- malicioso.
tadas de manera homogenea. Ademas adoptan un estado (3) Dispositivos recuperados: aquellos dispositivos suscep-
en cada instante de tiempo y van cambiandolo de manera tibles que han sido vacunados(dotados de las medidas
sincronizada de acuerdo a una misma regla de transicion de seguridad adecuadas para que no sean infectados por el
local. malware), o aquellos dispositivos infectados (portadores o
Por su parte, los modelos basados en agentes (MBA) se infecciosos) en los que se ha detectado el malware y se ha
desarrollaron a partir de la decada de los 90 cuando se em- eliminado con exito.
pezo a hacer un uso masivo de los recursos computaciona- En estos modelos supondremos que el proceso de lim-
les. Se trata de una generalizacion del concepto de automa- pieza al que se ven sometidos los dispositivos infectados
ta celular en el sentido de que los agentes (las entidades en los que se ha detectado el malware les dota de una in-
individuales en este caso) no tienen porque encontrarse munidad temporal; lo mismo les ocurrira a los dispositivos
distribuidos e interconectados de manera homogenea (es susceptibles en los que se han instalado contramedidas.
decir, las vecindades de cada agente pueden variar con el Consecuentemente, los dispositivos recuperados vuelven
paso del tiempo), pudiendo variar el conjunto finito de es- al estado de susceptibilidad al malware pasado un cierto
tados que adoptan de un agente a otro. Ademas los agentes periodo de tiempo. Ademas, como la velocidad de propa-
pueden no ser identicos y sus estados pueden ir cambian- gacion del malware es muy alta, podemos suponer que la
do de manera no simultanea de acuerdo a distintas reglas poblacion de dispositivos se mantiene constante a lo largo
de transicion local. En la actualidad, los MBA se utilizan del tiempo. Esto es:
para simular una gran variedad de fenomenos correspon-
dientes a distintas ramas de la Ciencia y Tecnologa: Eco- N = S (t) + P (t) + I (t) + R (t) , (1)
loga, Finanzas y Economa, Ciencias Polticas y Sociales,
Biologa Computacional, etc.[13]. donde N es el numero total de individuos de la poblacion,
Las principales ventajas que presentan los modelos in- y S (t) , P (t) , I (t) y R (t) son el numero de dispositivos
dividuales son las siguientes: susceptibles, portadores, infectados y recuperados, respec-
Se puede modelizar de manera explcita la heterogenei- tivamente, en el instante de tiempo t.
dad (definicion y especificaciones) que presentan los agen-
tes. A. El modelo global
Se pueden simular de manera eficiente tanto el compor-
A.1 El sistema de EDOs que rige la dinamica
tamiento individual como el comportamiento global del
sistema. Como hemos comentado anteriormente, el modelo que
Se obtienen resultados graficos facilmente interpretables desarrollaremos sera un modelo compartimental SPIRS
por gente no experta. (vease la Figura 1).
2
3
a (1 ) "*+,-.*+$") b y eliminado con exito, b (P (t) + I (t)), y dispositivos sus-

v
ceptibles vacunados: vS (t) y los dispositivos que pierden
$%&'($")
!!"#$%&'($") $$#!%$+-.*") la inmunidad, R (t).
a #/0$##1*"*") b
A.2 Determinacion de los parametros
Los parametros involucrados en las ecuaciones que go-
biernan la dinamica del sistema son el coeficiente de trans-
Fig. 1. Diagrama de flujo representando la dinamica del modelo.
mision a, el coeficiente de vacunacion v, el coeficiente de
perdida de inmunidad , la fraccion de la poblacion con
el mismo sistema operativo que el atacado por el malware
La dinamica del modelo viene regida por el siguiente , y el coeficiente de recuperacion b. En lo que sigue des-
sistema de ecuaciones diferenciales ordinarias: cribiremos como podemos determinar de manera teorica
cada uno de esos parametros.
S 0 (t) = aS (t) (I (t) + P (t)) vS (t) + R (t) , (2) El coeficiente de transmision a. La propagacion del
P 0 (t) = a (1 ) S (t) (I (t) + P (t)) bP (t) , (3) malware se produce a traves de contactos infecciosos (con-
I 0 (t) = aS (t) (I (t) + P (t)) bI (t) , (4) tactos adecuados y efectivos) entre el dispositivo suscep-
R0 (t) = b (P (t) + I (t)) + vS (t) R (t) , (5) tible y el infectado. Observese que un contacto entre dos
dispositivos es adecuado cuando el mismo puede conducir
con las siguientes condiciones iniciales: a la transmision del codigo malicioso; asimismo, un contac-
to adecuado es efectivo (y, por lo tanto, sera un contacto
S (0) = S0 , P (0) = P0 , I (0) = I0 , (6) infeccioso) cuando ha dado lugar a un contagio explci-
to. En la situacion que tratamos de simular los contactos
R (0) = N S0 P0 I0 , (7)
adecuados se realizaran mediante el envo de informacion
S (t) 0, P (t) 0, I (t) 0, R (t) 0. (8) a traves del correo electronico, y dichos contactos seran
infecciosos cuando el especimen del codigo malicioso vaya
Ademas los parametros que intervienen en el mismo son adjunto en los mismos.
los siguientes: el coeficiente de transmision del malware a, Se denomina coeficiente de contacto k al numero de con-
el coeficiente de vacunacion v, el coeficiente de perdida de tactos adecuados que tiene un dispositivo con el resto de
inmunidad , la fraccion de la poblacion con el mismo dispositivos en cada instante de tiempo. Usualmente el
sistema operativo que el atacado por el malware, y el coe- coeficiente de contacto depende del numero total de dis-
ficiente de recuperacion de los infectados b. Observese que positivos N , con lo que k = k (N ) = N , donde repre-
0 a, v, , , b 1. senta el promedio de contactos entre dos dispositivos de
La ecuacion (2) nos indica que la variacion del numero la red en cada instante de tiempo. Si q es la probabilidad
de dispositivos susceptibles es igual a la diferencia entre de que un contacto adecuado acabe en contagio, entonces
los dispositivos recuperados que han perdido la inmuni- qN representa el numero de contactos efectivos de cada
dad, R (t), y los dispositivos que han dejado de ser dispositivo con el resto de la poblacion en cada instante
susceptibles. Estos ultimos son la suma de los dispositivos de tiempo. Consecuentemente
susceptibles que se infectan en cada instante de tiempo
(que es el producto entre los dispositivos susceptibles y k (N ) N
los dispositivos infectados: aS (t) I (t) -incidencia-) y los a=q =q = q . (9)
N N
dispositivos susceptibles en los que se instalan medidas de
seguridad en cada instante de tiempo: vS (t). El coeficiente de vacunacion v. Los dispositivos sus-
La ecuacion (3) refleja que la variacion del numero de ceptibles pueden adquirir inmunidad temporal si en ellos
dispositivos portadores es igual a la diferencia entre los se instalan parches u otro tipo de programas informati-
nuevos dispositivos susceptibles -con sistema operativo cos anti-malware. En este sentido v = , donde
distinto al atacado por el malware- que se han infectado, representara la fraccion de la poblacion susceptible que es
a (1 ) S (t) (I (t) + P (t))), y aquellos dispositivos por- vacunada en cada instante de tiempo y 0 1 sera el
tadores en los que se ha detectado y eliminado el malware coeficiente de exito que tiene la vacunacion.
(pasan a ser recuperados): bP (t). El coeficiente de perdida de inmunidad . El perio-
La evolucion del numero de dispositivos infecciosos vie- do de inmunidad, TI , es el periodo de tiempo comprendido
ne dada por la ecuacion (4) de manera que su variacion es entre el instante en el que se elimina el malware del dis-
la diferencia entre los nuevos dispositivos susceptibles que positivo y el instante en el que dicho dispositivo vuelve
se han infectado -y que poseen el mismo sistema operati- a ser susceptible. Un sencillo calculo empleando tecnicas
vo que el atacado por el malware-, aS (t) (I (t) + P (t)), estadsticas nos muestra que = T1I .
y los dispositivos infecciosos que se han recuperado, bI (t). El coeficiente de recuperacion b. Como hemos co-
La ecuacion (5) indica que la variacion del numero de mentado anteriormente, la recuperacion de un dispositivo
dispositivos recuperados es la diferencia entre los disposi- infectado depende de dos factores: la deteccion del codigo
tivos que se recuperan (dispositivos tanto portadores co- malicioso y la eliminacion con exito del mismo (una vez
mo infecciosos en los que el malware ha sido detectado detectado). Entonces si d es la probabilidad de detectar el
3
4
malware en cada instante de tiempo y e es la probabilidad dada por:

de que sea eliminado con exito, se tendra que b = d e. b (1 ) (b (v + ) aN )
El coeficiente . Habitualmente el codigo malicioso S1 = , P1 = (11)
a a ( + b)
ataca a los dispositivos cuyo sistema operativo es uno en
(b (v + ) aN )
concreto, de manera que el resto de los dispositivos (aun- I1 = , (12)
que resulten infectados y puedan transmitir el malware) a ( + b)
no sufren danos. En este sentido representara la frac- b (aN b + v)
R1 = , (13)
cion del numero total de ordenadores de la red que posee a ( + b)
el mismo sistema operativo que el objeto de ataque del que sera el punto de equilibrio endemico. Observese que
gusano computacional. esta ultima solucion tiene sentido si b (v + ) aN < 0,
es decir, si la poblacion es superior a un cierto umbral:
A.3 El numero reproductivo basico
b (v + )
N> . (14)
El numero reproductivo basico R0 es uno de los parame- a
tros de mayor importancia en el estudio de la propagacion Ademas se demuestra que elpunto de equilibrio libre de

del codigo malicioso ya que su valor numerico indicara si N vN
infeccion E0 = +v , 0, 0, +v es local y asintoticamente
la presencia de un cierto especimen en una red se va a
convertir en una epidemia (el numero de dispositivos inestable si y solo si R0 < 1, mientras que el punto de equi-
fectados crecera) o no. El numero reproductivo basico se librio endemico E1 = (S1 , P1 , I1 , R1 ) dado por (11)-(13)
puede definir como el numero de dispositivos infectados di- es local y asintoticamente estable si R0 > 1 (recuerdese
rectamente por un unico dispositivo infectado (paciente que este punto existe si = b ( + v) aN < 0).
cero) en una red de dispositivos enteramente susceptible. En la Figura 2 se puede observar la evolucion de los
Segun esto, si R0 > 1 el numero de dispositivos infecta- distintos tipos de ordenadores cuando a = 0,000138 ( =
1 1 1
dos crecera (y se producira una epidemia), mientras que 72 , q = 0,01), v = 0,005 ( = 100 , = 0,5), = 48 ,
1
si R0 < 1 no se producira ninguna propagacion del codigo b = 0,0375 (d = 24 , e = 0,9) y = 0,6. El tiem-
malicioso. Si utilizamos el metodo NG (vease [14]) pa- po se mide en horas, S (0) = 100, P (0) = 1, I (0) =
ra calcular el numero reproductivo basico, obtenemos que 1, R (0) = 0 y se simulan las primeras 150 horas a par-
dicho valor viene dado por: tir de la aparicion de los primeros infectados. En este ca-
so R0 0,304659 < 1 y consecuentemente no se produ-
aN cira epidemia. El punto de equilibrio libre de infeccion es
R0 = . (10)
b ( + v) ,)-./*-().+
&""
Observese que para evitar que se produzca una epidemia %"

sera necesario hacer el R0 tan pequeno como fuera pre- !"#$%&'()*%#
ciso. Teniendo en cuenta su expresion explcita, ello se $" +,-'./,-%#
puede conseguir llevando a cabo, por ejemplo, alguna de #"

012%$$(,#,#
las siguientes actuaciones: (1) Reduciendo el numero to- 3%$"&%-./,#

!"
tal de dispositivos de la red N mediante, por ejemplo, el
aislamiento; (2) Reduciendo el coeficiente de transmision !" #" $" %" &"" &!" &#"
'()*+
a disminuyendo para ello los contactos entre los dispositi-

vos o extremando las medidas a la hora de abrir correos Fig. 2. Evolucion de los distintos compartimentos cuando R0 < 1.
electronicos sospechosos u otro tipo de mensajes recibidos;
(3) Aumentando el coeficiente de recuperacion b mediante E0 (82,2581, 0, 0, 19,7419), de modo que en el instante
la mejora de las prestaciones del software antivirus. t = 150 los valores de los distintos compartimentos son
S (150) 81,7380, P (150) 0,0073, I (150) 0,0148 y
A.4 Puntos de equilibrio del sistema R (150) 19,2399.
En la Figura 3 se puede observar la evolucion de los
Los puntos de equilibrio del sistema (2)-(5) son las so-
distintos tipos de ordenadores cuando a = 0,000208 ( =
luciones del sistema no lineal: 1 1 1
48 , q = 0,01), v = 0,005 ( = 100 , = 0,5), = 48 ,
1
b = 0,03125 (d = 24 , e = 0,75) y = 0,6. Inicialmente
0 = aS (I + P ) vS + R, S (0) = 1000, P (0) = 1, I (0) = 1, R (0) = 0. Por otra par-
0 = a (1 ) S (I + P ) bP, te, el tiempo se mide en horas y se simulan las primeras
0 = aS (I + P ) bI, 200 horas a partir de la aparicion de los primeros infecta-
0 = bP + bI + vS R, dos. En este caso R0 5,3871 > 1 y consecuentemente se
producira epidemia. El punto de equilibrio libre de infec-
cion es E1 = (150, 130,56, 195,84, 525,6). As en la anterior
Un sencillo calculo nos muestra que existen
dos soluciones:
N vN
simulacion se obtiene que el instante t = 200 los valores
E0 = (S0 , P0 , I0 , R0 ) = +v , 0, 0, +v , que sera el punto de los compartimentos son S (200) 150,166, P (200)
de equilibrio libre de infeccion, y E1 = (S1 , P1 , I1 , R1 ) 130,524, I (200) 195,785 y R (200) 525,525.
4
5
-'./0(.&'/)
decir, supondremos que hasta un cierto instante de tiem-
#"""
po, Tprof [i], no se habran implementado dichas medidas
,""
!"#$%&'()*%#
en el dispositivo, y a partir de dicho instante de tiempo
+"" +,-'./,-%#
s se instalaran. Si 0 1 es la probabilidad de exito
012%$$(,#,#
que tiene la vacunacion, entonces se verifica que:
*""
3%$"&%-./,#
1, con probabilidad si t Tprof [i]
$"" v[i, t] = (17)
0, en otro caso
%&'()
!" #"" #!" $""
El coeficiente de perdida de inmunidad [i]: nos
Fig. 3. Evolucion de los distintos compartimentos cuando R0 > 1. indica si el agente i-esimo pierde la inmunidad que le han
conferido las medidas profilacticas o no. Dependera del pe-
riodo de inmunidad, Tinm [i] del dispositivo. De esta ma-
B. El modelo individual basado en agentes nera se tendra que:
En lo que sigue vamos a esbozar las principales carac-
1, si t Tinm [i]
tersticas del modelo individual que se propone como con- [i] = (18)
0, en otro caso
trapartida al modelo global presentado en la seccion III.A.
En este sentido se tratara de un MBA de manera que los El coeficiente de recuperacion b[i, t]: al igual que en
agentes representaran los distintos dispositivos que se en- el caso global, la recuperacion de un dispositivo (agente)
cuentran en la red. infectado depende de dos factores: la deteccion del codi-
go malicioso y la eliminacion con exito del mismo (una
B.1 Caractersticas de los agentes
vez detectado). As supongamos que d[i, t] es la probabi-
Sea est[i, t] el estado del agente i-esimo en el instante lidad de detectar el malware en el agente i-esimo en cada
de tiempo t de manera que dicho estado podra ser sus- instante de tiempo t (observese que depende del tiempo
ceptible (est[i, t] = S), portador (est[i, t] = P ), infeccio- puesto que en el influye si hay implementados metodos de
so (est[i, t] = I) o recuperado (est[i, t] = R). Se verifi- deteccion en el dispositivo en el instante de tiempo consi-
cara pues que S (t) es el numero de dispositivos que se derado y de su eficacia); y e[i] es la probabilidad de que
encuentran en estado susceptible en el instante de tiempo sea eliminado con exito, se tendra que:
t, y as sucesivamente.
Las especificaciones individuales que caracterizan cada 1, con probabilidad d[i, t] e[i]
b[i, t] = (19)
agente son las siguientes: 0, con probabilidad 1 d[i, t] e[i]
El coeficiente de transmision a[i, t]: este parametro
depende no solo del agente sobre el que se este calculan- El coeficiente de sistema operativo [i]: sera de
do sino tambien del tiempo, ya que supondremos que la naturaleza booleana de tal manera que nos indica si el
topologa los contactos de un dispositivo (que se mide.en sistema operativo del agente i-esimo es el mismo que el
terminos de un grafo de conexiones) se va modificando con objeto de ataque por el malware o no. As:
el tiempo. As, si vec[i, t] es la vecindad del agente i-esimo
1, si posee el mismo S.O. que el atacado
en el instante de tiempo t, [i, j, t] representa el numero [i] =
0, en otro caso
de contactos efectivos entre el agente i-esimo y el agente
(20)
j-esimo durante el instante de tiempo t y q[i, j] es la pro-
El coeficiente de dispositivo [i]: al igual que el
babilidad de que un contacto efectivo entre ambos agentes
caso anterior sera de naturaleza booleana de tal manera
acabe en contagio, entonces podemos definir la siguiente
que nos indica si el tipo de dispositivo que define al agente
variable booleana:
i-esimo es el mismo que el atacado por el malware o no.

1, con probabilidad [i, j, t] q[i, j] En nuestro caso, y para no complicar en exceso el modelo,

podemos suponer que el malware puede atacar o bien a
si j vec[i, t]
a[i, j, t] = 0, con probabilidad 1 [i, j, t] q[i, j] computadoras o bien a dispositivos moviles (tabletas y

telefonos inteligentes). As:

si j vec[i, t]

0, 0 si j / vec[i, t]
(15) 1, si el tipo de dispositivo al que pertence
Consecuentemente se verificara que: [i] = el agente i es el atacado por el malware

0, en otro caso
_
a[i, t] = a[i, j, t]. (16) (21)
jvec[i,t] Observese que un factor clave en el modelo individual es
la correcta determinacion de los parametros involucrados
El coeficiente de vacunacion v[i, t]: este coeficiente en el mismo. Se consideran coeficientes, periodos tempo-
nos indica si el agente i-esimo tiene implementadas medi- rales y probabilidades particulares en cada dispositivo, los
das profilacticas en el instante de tiempo t que le hagan cuales dependeran del tipo y del rol que jueguen dentro
inmune a la accion del malware (y por lo tanto, que pase del proceso infeccioso y de las caractersticas particulares
a ser recuperado). Este parametro depende del tiempo, es del malware.
5
6
B.2 Las reglas de transicion En este sentido existen diferentes tipos de dispositivos
Las reglas de transicion entre los diferentes estados en (computadoras, dispositivos moviles, dispositivos werea-
los que se puede encontrar un agente se pueden resumir bles, etc.) que tienen distintos usos y finalidades y dife-
de la siguiente manera: rentes especificaciones y roles en relacion con el malwa-
Transicion de susceptible a portador: El agente i-esimo re. Consecuentemente es necesario disenar modelos ma-
que es susceptible en el instante de tiempo t, pasa a ser tematicos que tengan en cuenta estas caractersticas.
portador en el instante de tiempo t + 1 cuando Desafortunadamente lo anterior no es posible si segui-
mos considerando modelos cuya dinamica venga regida
a[i, t] = 1 AND [i] = 0. (22) por sistemas de ecuaciones diferenciales. Como alternativa
eficaz y eficiente podemos considerar los modelos basados
Transicion de susceptible a infeccioso: El agente i-esimo en agentes. Es una metodologa relativamente novedosa y
que es susceptible en el instante de tiempo t, pasa a ser que ya se ha aplicado con exito a la simulacion de otro
infeccioso en el instante de tiempo t + 1 cuando tipo de fenomenos.
Las simulaciones (individuales y globales) que se obtie-
a[i, t] = 1 AND [i] = 1. (23) nen a partir de estos modelos son mas realistas que las
obtenidas a partir de los modelos globales ya que tienen
Transicion de susceptible a recuperado: El agente i-esi- en cuenta las caractersticas individuales de los diferentes
mo que es susceptible en el instante de tiempo t, pasa a dispositivos y sus interacciones locales.
ser recuperado en el instante de tiempo t + 1 cuando Estos modelos presentan dos desventajas fundamenta-
les, a saber: (1) es necesario tener una eficaz monitoriza-
a[i, t] = 0 AND v[i, t] = 1. (24) cion del sistema para determinar de manera correcta los
distintos parametros que intervienen en el modelo, y (2)
Transicion de portador o infeccioso a recuperado: El
tienen un coste computacional mas elevado que el de los
agente i-esimo que es portador o infeccioso en el instante
modelos basados en ecuaciones diferenciales.
de tiempo t, pasa a estar recuperado en el instante de
tiempo t + 1 cuando b[i, t] = 1. Agradecimientos
Transicion de recuperado a susceptible: El agente i-esi-
mo, recuperado en el instante de tiempo t, pasa a ser sus- Este trabajo ha sido parcialmente subvencionado por
ceptible en el instante de tiempo t + 1 cuando [i] = 1. el Ministerio de Economa y Competitividad (Espana) y
En la Figura 4 se presenta la evolucion global de dos de por los fondos europeos FEDER con el proyecto TIN2014-
los distintos compartimentos del modelo basado en agen- 55325-C2-2-R.
tes: el numero total de susceptibles y de infectados. La
simulacion se realiza sobre 10,000 dispositivos y en la fi- Referencias
gura solo se visualizan las primeras 48 horas del proceso [1] Y. Ding, X. Yuan, K. Tang, X. Xiao, Y. Zhang, A fast malwa-
re detection algorithm based on objective-oriented association
infeccioso. Los valores de los parametros utilizados han si- mining, Comput. Secur., vol. 39, pp. 315324, 2013.
do aleatorios y similares a los de la simulacion de la Figura [2] P. Wang, Y.-S. Wang, Malware behavioural detection and vac-
3. cine development by using a support vector model, J. Comput.
Syst. Sci., vol. 81, no. 6, pp. 1012-1026, 2015.
./+0(+/1/2(+
[3] C. C. Zou, W. Gong, D. Towsley, L. Gao, The Monitoring and
Early Detection of Internet Worms, IEEE ACM T. Network.,
-"""

vol. 13, no. 5, pp. 961-974, 2005.

[4] A. Dadlani, M.S. Kumar, K. Kim, K. Sohraby, Stability and

Immunization Analysis of a Malware Spread Model Over Scale-

,"""

Free Networks, IEEE Commun. Lett., vol. 18, no. 11, pp. 1907-

1910, 2014.

!"#$%&'()*%#

[5] S. Wen, W. Zhou, J. Zhang, Y. Xiang, W.L. Zhou, W.J. Jia, et

%"""
+,-%$'./0#

al, Modeling and Analysis on the Propagation Dynamics of Mo-

dern Email Malware, IEEE Trans. Dependable Secur. Comput.,

#"""
vol. 11, no. 4, pp. 361-374, 2014.

[6] C. C. Zou, W. Gong, D. Towsley, Code Red Worm Propagation
'()*+
Modeling and Analysis, Proc. 9th ACM Conference on Com-
!" #" $" %" &" puter and Communication Security (CCS02), p.138-147, Nov.
18-22, Washington DC, USA, 2002.
Fig. 4.Evolucion global de susceptibles e infectados en el modelo [7] S. Peng, Y. Shui, A. Yang, Smarphone Malware and Its Propa-
individual. gation Modeling: A survey, IEEE Commun. Surv. Tutor., vol.
16, no. 2, pp. 925-941, 2014.
[8] L.X. Yang, X. Yang, The impact of nonlinear infection rate on
the spread of computer virus, Nonlinear Dyn., 2015, to appear,
doi: 10.1007/s11071-015-2140-z
IV. Conclusiones [9] Martn del Rey, A., Mathematical modeling of the propagation
En este trabajo se ha puesto de manifiesto que el para- of malware: a review, Secur. Commun. Netw., 2015, to appear,
doi: 10.1002/sec.1186.
digma en el que se basan la mayor parte de los modelos [10] T.T. Allen, Introduction to Discrete Event Simulation and
matematicos propuestos hasta la fecha para simular la pro- Agent-based Modeling. London: Springer-Verlag, 2011.
pagacion de malware, debe cambiar para hacer frente al [11] S. Wolfram, A New Kind of Science. Champaign, IL: Wolfram
Media, 2002.
nuevo escenario de conectividad total al que se aproxima [12] S.F. Railsback, V. Grimm, Agent-Based and Individual-Based
nuestra sociedad. Modeling. Princeton, NJ: Princeton University Press, 2012.
6
7
[13] T. Terano, H. Kita, T. Kaneda, K. Arai, H. Deguchi (Eds.),

Agent-Based Simulation: From Modeling Methodologies to Real-
World Applications. Tokio: Springer-Verlag, 2005.
[14] O. Diekmann, J.A.P. Heesterbeek, and J.A.J. Metz, .On the de-
finition and the computation of the basic reproduction ratio R0
in models for infectious diseases in heterogeneous populations,
J. Math. Biol., vol. 28, no. 4, pp. 365382, 1990.
7
1
Sistema de Deteccion de Intrusos aplicando

Seleccion Negativa en Perfiles de Usuario
Cesar Guevara, Matilde Santos, Victoria Lopez
Facultad de Informatica, Universidad Complutesnse de Madrid
cesargue@ucm.es,msantos@ucm.es,vlopez@fdi.ucm.es
Resumen Esta trabajo propone un modelo de datos y toda la informacion del trafico de la red que se genera
la aplicacion de Sistemas Inmunes Artificiales para el de- en el ambiente que se encuentra funcionando, es decir,
sarrollo e implementacion de un Sistema de Deteccion de
Intrusos, que permita identificar actividades anomalas e in- recolecta la informacion de red interna como informacion
trusivas dentro de un sistema de informacion de gobierno. de red externa (conexiones entrantes y salientes).
El IDS propuesto utiliza un conjuntos de datos del compor-
tamiento de los usuarios que han ejecutado multiples tareas
Con los tipos anteriores de recoleccion de datos per-
en un perodo considerable de tiempo dentro del sistema miten una variedad de IDS como la deteccion de usos in-
real. Las contribuciones especficas son: modelo de datos, debidos (misuse detection) la cual compara la informacion
la identificacion de un perfil de usuario y la aplicacion de al- recogida con descripciones (o firmas) de ataques conoci-
goritmos de seleccion negativa y de busqueda de secuencias
de forma local como KPM para identificar tareas intrusivas dos. Por otra parte, la deteccion de anomalas (anomaly
de forma eficiente. Los resultados son optimos y con una detection) utiliza los datos historicos sobre la ejecucion
tasa de falsas alarmas bajo. de tareas o actividades en el sistema y detalla el compor-
Palabras Clave: Sistema inmune artificial, Sistema tamiento deseado de usuarios como de las aplicaciones,
de Deteccion de Intrusos, comportamiento de usuario, Se- para construir un perfil que representa la operacion nor-
leccion negativa mal del sistema monitorizado, e identifica patrones de ac-
tividades que se desvan del perfil definido.
I. Introduccion Ademas existen una variedad de tecnicas , metodologas
En la actualidad la seguridad de la informacion es un y algoritmos para el desarrollo de un IDS. El area mas
area muy importante para cualquier persona o institucion utilizada para los IDS es la aplicacion de Inteligencia Ar-
alrededor del mundo, ya que los datos se han convertido en tificial con las tecnicas de Machine Learning y Minera
el activo mas importante el cual debe ser salvaguardado de Datos (Data Mining). En esta area se han real-
de una manera eficiente y adecuada. La gran mayora izado multiples investigaciones y artculos, obteniendo
de los datos deben mantenerse seguros de cualquier in- grandes avances de sobre la aplicacion distintas tecnicas
truso o actividad no permitida, de modo que la seguridad como Arboles de Decision, Redes Neuronales, Algorit-
tiene una importancia crtica. El termino de intrusion mos Geneticos, Support Vector Machines, Sistemas In-
como lo presenta [1] se puede definir como cualquier con- munes Artificiales entre otras [2]. Los IDS tambien uti-
junto de acciones que tratan de comprometer la integri- lizan tecnicas y modelos estadsticos con el proposito de
dad, confidencialidad o disponibilidad de un recurso. Por automatizar completamente la deteccion de ataques mali-
ello es necesario utilizar una herramienta que pueda de- ciosos distinguiendo del uso normal de los sistemas. Las
tectar estas actividades y mantener la informacion acce- mas utilizadas son Redes Bayesianas, Cadenas de Markov,
sible solo a las personas autorizadas. Dicha herramienta etc.
se la denomina como Sistema de Deteccion de Intrusos En este trabajo se presenta una propuesta de inves-
(IDS), el mismo que analiza eventos que suceden en un tigacion en torno a la seguridad informatica, y mas es-
sistema informatico en busca de signos de intrusiones. El pecficamente en el area de los sistemas de deteccion de
principal objetivo de un IDS es monitorear la actividad intrusos (IDS) basados en anomalas de comportamiento
en un servidor, red o un equipo informatico (PC, Tablet, de usuarios. El sistema propuesto utiliza la tecnica de
movil, etc.) de tal forma que permita identificar de man- Sistemas Inmunes artificiales aplicando el algoritmo de
era eficiente posibles ataques o intentos de violacion a la seleccion negativa, ademas, un algoritmo de busqueda
seguridad basados en patrones de comportamiento, firmas de secuencias en forma local llamado Knuth-Morris-Pratt
de codigo o analisis de protocolos, para luego alertar al (KMP).
administrador del equipo. El gran auge en el desarrollo El artculo esta organizado de la siguiente forma: en la
e implementacion de multiples IDS han surgido algunas Seccion 2 se detalla trabajos realizados anteriormente pre-
maneras en la recoleccion y utilizacion de la informacion sentado sus fortalezas y comparandolos con nuestra prop-
para el sistema de deteccion, los cuales se describen con- uesta. En la Seccion 3 se detalla el objetivo de la inves-
tinuacion: tigacion y la aportacion cientfica, ademas se presenta los
Basado en el Host: Este tipo de sistema de deteccion materiales y metodos utilizados para la construccion del
utiliza la informacion de tareas o actividades realizadas IDS. Posteriormente, en la Sesion 4 se presentan desarrollo
en el equipo donde se encuentra funcionando el IDS. del algoritmo. En las session 5 se presentan los resultados
Basado en la Red: Este sistema de deteccion utiliza del sistema propuesto. Finalmente, en la Seccion 6 se pre-
8
2
sentan las conclusiones y trabajos futuros que han surgido de anomalas en red.
de esta investigacion. Este trabajo propone la aplicacion de un sistema in-
mune con seleccion negativa en las tareas que ejecutan los
II. Trabajos Relacionados usuarios dentro de un sistema informatico, donde, a par-
Un sistema de deteccion de intrusos IDS es un sistema tir del historico de estas ejecuciones se genera un perfil de
de software o hardware automatizado para realizar un uso normal el cual permite identificar anomalas con re-
proceso de monitoreo y analisis de datos del medio in- sultados optimos y con un coste computacional bajo. En
formatico para la deteccion de intrusiones como lo pre- las siguientes secciones se presentara las aportaciones de
senta [3][4] [14]. En multiples trabajos en los cuales los la propuesta y ademas todo el proceso de modelado de la
IDS centran su atencion en la tecnica de Sistema in- solucion para un IDS.
munes artificial como una optima alternativa para iden-
tificar comportamientos anomalos los presenta en [5] [6] III. Metodos y Materiales
[7] [8] . Los cuales validan que dicha tecnica la cual pro- A. Objetivo y aportaciones de la Investigacion
porciona resultados fiables y que son una gran area de
investigacion para el futuro. El objetivo principal de la investigacion es desarrollar
Es por eso que con un creciente numero de inves- un algoritmo dinamico y eficiente el cual pueda identificar
tigadores informaticos que seleccionan y estudian esta el comportamiento anomalo de un usuario o agente que
tecnica, las cuales, obtienen un gran exito como un mecan- realice tareas intrusivas en un sistema informatico. Por
ismo natural para la solucion de diversos problemas, in- otra parte las aportaciones de la investigacion al estudio
cluyendo diagnostico de fallos, la deteccion de virus y de- de IDS son:
teccion de fraude hipotecario como lo presenta [9] [10] [11] Utilizacion de datos reales de usuarios de un sistema
[12] [13]. informatico real para el desarrollo del modelo de datos y

De los trabajos mas recientes en la aplicacion de sis- el algoritmo de deteccion.
temas inmunes artificiales es el presentado por [15], el Aplicacion de un nuevo modelo de datos que represente
cual propone un algoritmo de seleccion negativa que ha el comportamiento de los usuario de forma eficiente.
demostrado ser eficaz para los problemas de deteccion de Aplicacion del algoritmo de seleccion negativa de un sis-
anomalas y que presenta una nueva estrategia en la etapa tema inmune artificial al modelo de datos para la identi-
de entrenamiento, ademas, un continuo entrenamiento ficacion de comportamientos anomalos de los usuarios.
para la reduccion de muestras self para reducir el coste Aplicacion del algoritmo KMP para la identificacion de
computacional en fase de pruebas. Este algoritmo puede comportamientos anomalos en nuevas secuencias de tar-
obtener la tasa de deteccion mas alta y una tasa mas baja eas.
de falsas alarmas en la mayora de los casos. Desarrollar una nueva forma de deteccion de intrusos
Por otro lado la investigacion realizada por [16] pre- dinamica y eficiente dirigido a sistemas informaticos.
senta un nuevo enfoque para la deteccion de anomalas En la siguiente seccion se describen los metodos y ma-
en el trafico de red utilizando detectores generados por teriales utilizados para el desarrollo del algoritmo.
un algoritmo genetico. Este trabajo utiliza el algoritmo
de seleccion negativa en un sistema inmune que puede B. Metodos
detectar patrones anomalos. Este trabajo, muestra una En esta seccion se presentan los algoritmos aplicados
comparativa con varios otros experimentos realizados con en el presente trabajo. Los algoritmos utilizados son Al-
un conjunto de datos conocidos llamado NSL-KDD. El algoritmo de seleccion negativa (NSA)y Algoritmo Knuth
goritmo propuesto muestra resultados muy buenos en el Morris Pratt (KMP).
analisis, en comparacion con otros metodos de aprendizaje
automatico. B.1 Sistema Inmune Artificial con Seleccion Negativa
Otro trabajo muy interesante que en el cual se aplica el
sistemas inmunes con seleccion negativa, como lo presenta El algoritmo de seleccion negativa define el self medi-
[17]. El trabajo propuesto detalla los excelentes mecanis- ante la construccion de modelos de comportamiento nor-
mos de auto-aprendizaje, la capacidad de adaptacion del males de un sistema monitorizado. Este proceso genera
sistema inmunologico humano y ademas muestra los con- un numero finito de patrones aleatorios que se comparan
ceptos y las definiciones formales de antgeno, anticuerpos a cada modelo especfico de self como lo presenta [11].
y celulas de memoria en el dominio de seguridad de la
B.2 Algoritmo de Knuth Morris Pratt
red. Un aspecto muy importante de la investigacion es
como se establecen las formulaciones evolucion dinamica El objetivo principal de este problema es encontrar una
de los perfiles de deteccion (incluida la generacion de los cadena dentro otra cadena. En un patron P para cada
perfiles de deteccion, de aprendizaje dinamico, transfor- posicion i, spi(p) se dice que es la longitud del sufijo mas
macion dinamica, y la auto-organizacion dinamica), que largo de P[1; 2i], que coincide con el prefijo P. Es simi-
lograra que los perfiles de deteccion dinamica se puedan lar a navegar dentro de la cadena y que realiza sus com-
sincronizar con el entorno de red real. Este trabajo obtiene paraciones de izquierda a derecha. Tambien calcula los
resultados experimentales buenos en la cual se convierte desplazamientos maximos posibles de izquierda a derecha
en como una solucion a tener en cuenta para la deteccion para el patron P, [18].
9
3
C. Materiales
Los datos con los que se ha realizado este trabajo fueron

proporcionados de un sistema real del gobierno de la
Republica de Ecuador. La informacion es confidencial y
por esta razon los datos se han codificado para proteger la
integridad de su informacion. El conjunto de datos se ha
recolectado mediante la captura de las tareas ejecutadas
por los usuarios en un perodo considerable de tiempo.
Estos datos constan de diez conjuntos diferentes de infor-
macion sobre la ejecucion de las tareas de los usuarios.
Esta informacion esta agrupada tanto por usuarios y por
sesiones de usuario como se describe mas adelante. El con-
junto de datos constan del perodo de 2011 a 2013 y son
15.571 registros de sesiones 5312 de registros de sesiones
anomalas. La informacion que contienen todo el compor-
tamiento normal de cada usuario de inicio de sesion del Fig. 1. Datos de sesiones Historicas del comportamiento de usuario
sistema y las ejecuciones de tareas las cuales no tienen en un sistema informatico.
un tamano definido. El problema principal es distinguir T1 T2 T3 T4 T5 T7 T9 T11 T12 T14 T16 T20 T21
entre comportamiento normal y comportamiento anormal 0 0 0 0 0 0 0 0 0 0 0 0 0
porque las tareas ejecutadas por los usuarios depende de 1 1 1 0 1 0 0 0 0 0 1 1 1
la carga de trabajo, asignaciones o diferentes factores. 1 1 1 0 1 0 0 0 0 1 1 1 1
1 1 0 0 1 0 0 0 0 1 1 0 1
El sistema contiene siete tablas principales en la base 1 1 1 0 1 0 0 0 0 0 1 0 1
de datos (T b1 , T b2 , ..., T b7 ) y esta base de datos es posible 1 1 0 0 1 0 0 0 0 0 1 0 1
ejecutar las cuatro operaciones sql que son Insertar, Mod- 0 0 0 0 0 0 0 0 0 0 1 0 0
0 1 0 0 0 0 0 0 0 0 0 0 1
ificar, Eliminar y Buscar. La estructura de datos de una 0 1 0 0 1 0 0 0 0 0 0 1 0
sesion esta conformada por un login (acceso al sistema) y 1 0 0 0 0 0 0 0 0 1 1 0 1
una o varias tareas ejecutadas en forma secuencial. Las 0 1 0 0 1 0 0 0 0 0 1 0 0
1 1 1 0 1 0 0 0 1 0 1 1 1
tareas estan codificadas con 28 tareas genericas mas el
1 0 0 0 0 0 0 0 0 1 0 0 0
inicio de sesion. Cada tarea tiene un codigo T mas un 1 1 1 0 1 1 0 0 1 1 1 1 1
numero para identificar cada tarea. El comportamiento de 1 1 0 0 1 0 0 0 0 0 1 1 1
cada usuario es dinamico y diferente de otro usuario. El 1 1 0 0 1 0 0 0 0 1 0 1 1
1 1 0 0 1 0 0 0 1 0 0 0 1
conjunto de tareas se define como T = {T1 , T2 , T3 , ..., Tm }
donde m es el numero de la tarea y el conjunto de posi- TABLA I
bles tareas ejecutadas por el usuario U se define como Modelo de datos propuesto
T U = {T1 , T2 , T3 , ..., Tn } donde n es el numero de tar-
eas ejecutadas. El conjunto de posibles sesiones se define
como S = {S1 , S2 , S3 , ..., Sn } donde Sn Hs. Todas
las sesiones grabadas del mismo usuario forman la base IV. Desarrollo del Algoritmo de Deteccion de
de datos historica de ese usuario, estas sesiones se llama Intrusos
Sesiones pasivas (HsU ),y una nueva sesion de usuario se Sobre el algoritmo de deteccion de intrusos el cual se
llama Sesion Activa AsU . Esta estructura no tiene tamano basa en la nueva estructura de datos presentada anterior-
fijo como se muestra en la figura 1. mente, ademas en el algoritmo de seleccion negativa y el
Para identificar las tareas ejecutadas por el usuario se algoritmo KMP que fue descrito en los apartados anteri-
ha propuesto un modelo de datos en el cual se identifican ores. La deteccion de tareas anormales podra resumir en
las tareas T mas ejecutadas y se crea una tabla que defina los siguientes pasos:
si existe esa tarea en el sesion realizada S. En este trabajo Paso 1. Generacion de secuencias anormales: En esta
se ha comprobado que cada uno de los usuarios no real- seccion utiliza el algoritmo de seleccion negativa y KMP
izan mas de 13 tareas de las 28 existentes para su compor- para generar secuencias anomalas utilizando el conjunto
tamiento normal. Por esta razon se ha tomado ese valor de datos del modelo propuesto.
como maximo de tareas ejecutadas para este nuevo mod- Paso 2. Deteccion de Intrusos en Secuencias Activas:
elo. El modelo de datos identifica si existe una o varias tar- Finalmente en este paso se identifica si la secuencia activa
eas T en una sesion S y asigna un valor de 1 al casillero AsU es anomala o no utilizando el conjunto de datos re-
correspondiente de cada tarea y caso contrario 0 al no sultante en el paso 1. De esta manera identificar de una
existir dicha tarea. El modelo de datos esta presentado en forma eficiente y dinamica si es intrusiva o normal.
la tabla 1.
A. Paso 1. Generacion de secuencias anormales
Si en el caso de existiese un numero mayor o menor de
tareas al establecido el modelo de datos es adaptable al En este paso lo que se propone utilizar un sistema in-
comportamiento de cada uno de los usuarios. mune artificial aplicando el algoritmo de seleccion nega-
10
4
tiva, el cual a partir de un conjunto de datos del modelo Dn . Se introduce nueva sesion activa AsU para determinar
propuesto genere sesiones anomalas para poder ser com- la similitud con los detectores Dn con el algoritmo KPM.Si
paradas en el siguiente paso con una sesion activa. Este la similitud (umbral de estimulacion) Sth > 0 es igual a
paso consta de tres fases las cuales son: T RU E el detector se activa y el antgeno se clasifica como
Fase 1: Generar aleatoriamente la poblacion inicial B0 anomalo, de lo contrario, se clasifica como normal.
utilizando el modelo de datos propuesto con detectores Este paso es el que se repite de forma continua durante
r que incluya los datos espaciales con las caractersticas, el uso del sistema informatico determinando en que tarea
donde r B0 . Estos detectores se basan en las secuencias el usuario se desva a un comportamiento anomalo. La
historicas de tareas HsU , cada figura azul representa un implementacion del IDS es en una capa intermedia entre
detector. Esta fase se ilustra en la figura 2a. En la gen- la interfaz del usuario y la ejecucion de las operaciones
eracion de la poblacion inicial numero de elementos B0 en la Base de datos. Esto permite que las actividades del
se calcula con la formula B0 = pv , donde p es el numero usuario no queden bloqueadas sino solamente las tareas
de bits de posibilidades y v es la cantidad de tareas que que han sido detectadas como intrusivas, como se puede
ejecuta el usuario, este valor permite crear un numero se- apreciar en la figura 3.
siones.
Fase 2: Con los datos de entrenamiento B0 una porcion
del espacio se define como normal (itself) utilizando el
algoritmo KPM. Esta fase se ilustra en la figura 2b.El
algoritmo de busqueda local analiza cada registro de B0
buscando similitudes con los las sesiones del modelo de
datos de cada uno de los usuarios, si existe una similitud
los marca como normales, caso contrario los marca como
anomalos denominados Dn .
Fase 3: Se elimina todos los detectores que se superpo-
nen con la region definida en itself, dejando el resto como
detectores anormales Dn . Esta fase se ilustra en la figura
2c.El algoritmo de seleccion negativa obtiene detectores
de comportamiento anomalo (rojo) para el siguiente paso
del sistema de deteccion, como se muestra en la Figura
2d.
Fig. 3. Esquema de implementacion del IDS en el sistema in-

formatico
En la siguiente seccion se presentan los resultados de la

propuesta de forma detallada.
V. Resultados
En esta seccion se presentan los resultados de las prue-
bas de deteccion del IDS en fase incial, ya que para obtener
resultados definitivos es necesario tener pruebas mas ex-
tensas para tener cifras definitivas. Para estas pruebas
se utiliza la informacion diez usuarios de un sistema in-
formatico real.Durante el presente estudio se evidencio
muchas caractersticas que hacian de la propuesta tener
resultados de deteccion eficiente, una de estas es el modelo
de datos y la aplicacion de seleccion negativa del compor-
Fig. 2. Fases del sistema de inmune con seleccion negativa
tamiento normal de cada uno de los usuarios.
Los resultados de las pruebas de la aplicacion del algo-
En el siguiente paso se utilizan los detectores anomalos ritmo IDS muestran la tasa de clasificado correctamente
Dn para identificar si la sesion activa AsU es anomala o (CC), tasa clasificado incorrectamente (IC). Tambien pre-
normal. senta la deteccion tiempo promedio (segundos) para cada
usuario del estudio. Por otro lado se presentan valores de
B. Paso 2. Deteccion de Intrusos en Secuencias Activas
Verdaderos positivos (TP), Verdaderos negativos (TN),
En este ultimo paso se analiza la secuencia activa AsU Falsos positivos (FP), Falsos negativos (FN). Para valo-
y se compara con todo el conjunto de detectores anomalos rar el desempeno adecuado del IDS es necesario presentar
11
5
valores de Precision, Tasa de Deteccion y Tasa de Falsas tante eficientes para pruebas iniciales con una tasa clasifi-
alarmas las cuales se presentan a continuacion: cado correctamente alta y podemos ver que la precision de
La precision (PR)se refiere a la proporcion de datos 99,31%, la tasa de deteccion de 98,29%, y la tasa de falsas
clasifica un tipo preciso en total de datos, a saber, la alarmas son inferiores al 2%, lo que significa que la de-
situacion TP y TN, por tanto, la precision esta daba por teccion tiene identificacion aceptable. El coste computa-
(T P +T N )
Precision= (T P +T N +F P +F N ) 100%.
cional es uno de el factor mas importante a considerar,
Tasa de deteccion (DR) se refiere a la proporcion de tanto en el entrenamiento del algoritmo y en el proceso de
comportamiento anomalo detectado entre todos los datos la deteccion del comportamiento del usuario, como pre-
de comportamiento anomalo, es decir, la situacion de los senta la figura 4 y 5.
TP, la tasa de deteccion es por lo tanto esta dada por
Tasa de Deteccion= (T P(T+F P)
N ) 100%.
Tasa de falsas alarmas (FA) se refiere a la proporcion
que los datos de comportamiento normal se detecta fal-
samente como un comportamiento anomalo, es decir, la
situacion de la FP, por lo tanto la tasa de falsas alarmas
es
Tasa de falsas alarmas= (F PF+T P
N ) 100%.
Este analisis de deteccion de intrusos se ilustran en las
tabla 2 y 3.
Usr CC IC CC % IC % Tiempo Promedio

1 1943 26 98.68 1.32 0.03
2 1833 8 99.565 0.435 0.012
3 2049 24 98.842 1.158 0.016
4 2563 15 99.418 0.582 0.028
Fig. 4. Coste computacional en el entremamiento del IDS
5 1909 29 98.504 1.496 0.064
6 2057 7 99.661 0.339 0.045
7 2116 6 99.717 0.283 0.049
8 2080 8 99.617 0.383 0.087
9 2218 9 99.596 0.404 0.063
10 1973 10 99.496 0.504 0.067
Media 99.3096 0.6904 0.0461
TABLA II
Resultados de IDS propuesto en clasificado correctamente
(CC), clasificado incorrectamente (CC).
Usr TP FP FN TN % PR % DR % FA
1 689 25 1 1254 98.68% 99.86% 1.95%
2 468 4 4 1365 99.57% 99.15% 0.29%
3 456 13 11 1593 98.84% 97.64% 0.81%
4 549 4 11 2014 99.42% 98.04% 0.20%
Fig. 5. Coste computacional en la deteccion del IDS
5 347 2 27 1562 98.50% 92.78% 0.13%
6 393 4 3 1664 99.66% 99.24% 0.24%
Dicho desempeno del IDS en una estacion de trabajo es
7 571 1 5 1545 99.72% 99.13% 0.06%
bajo lo que es un punto a favor a la propuesta. El tiempo
8 504 3 5 1576 99.62% 99.02% 0.19%
promedio para detectar relativamente mnimo ya que con
9 582 2 7 1636 99.60% 98.81% 0.12%
solo registros de 2 anos facilita que la la rapidez de la
10 674 5 5 1299 99.50% 99.26% 0.38% deteccion pero no se puede obtener un perfil totalmente
Media 99.31% 98.29% 0.44% eficiente. El costo del entranemiento no es un factor de
TABLA III riesgo porque el entrenamiento se realiza solo una vez en
Resultados del IDS propuesto en valores de Precision, Tasa perodos semanales o mensuales lo que hace al sistema se
de Deteccion y Tasa de Falsas Alarmas. pueda adaptar al comportamiento del usuario.
VI. Conclusiones y Trabajos Futuros

Como se pudo apreciar los resultados obtenidos a traves Este trabajo se ha propuesto y validado un sistema de
del Sistema de Deteccion de Intrusos propuesto son bas- deteccion de intrusos con un enfoque basado en la Sis-
12
6
temas inmunes artificiales implementado en un sistema [12] Hofmeyr, Steven A., and Stephanie Forrest. Architecture for
informatico, lo que permitio que el trabajo pueda dean artificial immune system. Evolutionary computation 8.4
(2000): 443-473.
scribir de una forma aproximada la creacion de perfiles de [13] Forrest, Stephanie, and Steven A. Hofmeyr. Immunology
usuario representados por el modelo de datos. La ventaja as information processing. SANTA FE INSTITUTE STUD-
de nuestro modelo es la generacion de comportamientos IES IN THE SCIENCES OF COMPLEXITY-PROCEEDINGS
VOLUME-. Reading, Mass.; Addison-Wesley; 1998, 2001.
anomalos, aplicando seleccion negativa, a partir de com- [14] Garcia-Teodoro, Pedro, et al. Anomaly-based network intru-
portamientos normales de cada uno de los usuarios. Esto sion detection: Techniques, systems and challenges. computers
& security 28.1 (2009): 18-28.
permite que el perfil de cada usuario sea unico y dinamico. [15] Gong, Maoguo, et al. An efficient negative selection algorithm
El IDS se aplico para comprobar el analisis de sensibili- with further training for anomaly detection. Knowledge-Based
dad y definir el mejor rendimiento de parametros de de- Systems 30 (2012): 185-191.
[16] Aziz, Amira Sayed A., et al. Detectors generation using genetic
teccion. Esta forma ofrece un mejor equilibrio entre la algorithm for a negative selection inspired anomaly network
tasa de deteccion y tasa de falsas alarmas, tambien com- intrusion detection system. Computer Science and Information
prueba su adaptabilidad al comportamiento humano para Systems (FedCSIS), 2012 Federated Conference on. IEEE, 2012.
[17] Peng, Lingxi, et al. Dynamically real-time anomaly detection
la deteccion aplicando el enfoque propuesto. algorithm with immune negative selection. Applied Mathe-
Como lneas de trabajos fututos seran la imple- matics & Information Sciences 7.3 (2013): 1157-1163.
mentacion de identificacion de comportamientos anomalos [18] Mandumula, Kranthi Kumar. Knuth-Morris-Pratt Algo-
rithm. Posledn zmena 18 (2011).
en secuencias temporales de las tareas ejecutadas por el
usuario aplicando reyes bayesianas u otras tecnicas de in-
teligencia artificial. Tambien,algoritmos de optimizacion
y big data para mejorar el desempeno de las detecciones
y reducir el tiempo de procesamiento y respuesta para ser
implementado de manera online y con varios sistemas a
la vez. Ademas de realizar la aplicacion a diferentes areas
como la medicina y deteccion de problemas en sistemas
industriales.
Agradecimientos
Este trabajo ha sido parcialmente financiado por el Min-
isterio de Educacion Superior, Ciencia, Tecnologa e In-
novacion (SENESCYT) del Gobierno de la Republica del
Ecuador bajo la beca Convocatoria abierta 2011 y 2012.
Referencias
[1] Heady, Richard, et al. The architecture of a network level intru-
sion detection system. Department of Computer Science, Col-
lege of Engineering, University of New Mexico, 1990.
[2] Scarfone, Karen, and Peter Mell. Guide to intrusion detec-
tion and prevention systems (idps). NIST special publication
800.2007 (2007): 94.
[3] Bace, Rebecca, and Peter Mell. NIST special publication on
intrusion detection systems. BOOZ-ALLEN AND HAMILTON
INC MCLEAN VA, 2001.
[4] Stavroulakis, Peter, and Mark Stamp, eds. Handbook of infor-
mation and communication security. Springer Science & Busi-
ness Media, 2010.
[5] Debar, Herve, Marc Dacier, and Andreas Wespi. Towards a
taxonomy of intrusion-detection systems. Computer Networks
31.8 (1999): 805-822.
[6] Debar, Herve, Marc Dacier, and Andreas Wespi. A revised tax-
onomy for intrusion-detection systems. Annales des telecom-
munications. Vol. 55. No. 7-8. Springer-Verlag, 2000.
[7] Kumar, Vipin, Jaideep Srivastava, and Aleksandar Lazarevic,
eds. Managing cyber threats: issues, approaches, and chal-
lenges. Vol. 5. Springer Science & Business Media, 2006.
[8] Murali, Adithyavairavan, and Madhav Rao. A survey on intru-
sion detection approaches. Information and Communication
Technologies, 2005. ICICT 2005. First International Conference
on. IEEE, 2005.
[9] DasGupta, Dipankar. An overview of artificial immune systems
and their applications. Springer Berlin Heidelberg, 1999.
[10] Kephart, Jeffrey O., et al. Biologically inspired defenses
against computer viruses. IJCAI (1). 1995.
[11] Kim, Jungwon, and Peter J. Bentley. Towards an artificial im-
mune system for network intrusion detection: An investigation
of clonal selection with a negative selection operator. Evolu-
tionary Computation, 2001. Proceedings of the 2001 Congress
on. Vol. 2. IEEE, 2001.
13
JNIC2015 Segunda sesion: Artculos cortos - Vulnerabilidades, Malware y exploits
The Attack of the Clones: A Study of the Impact of

Shared Code on Vulnerability Patching
Antonio Nappa , Richard Johnson , Leyla Bilge , Juan Caballero , Tudor Dumitras,
IMDEA Software Institute University of Maryland, College Park
Symantec Research Labs UniversidadPolitecnica de Madrid
antonio.nappa@imdea.org, rbjohns8@cs.umd.edu,
leylya yumer@symantec.com, juan.caballero@imdea.org, tdumitra@umiacs.umd.edu
The full version of this paper appears at the proceeedings at 36th IEEE Symposium on Security and Privacy
AbstractVulnerabilities in client applications (e.g., browsers, One dangerous peculiarity of client-side applications is that
multimedia players, document readers and editors) are often ex- the same host may be affected by several instances of the same
ploited in spear phishing attacks and are difficult to characterize vulnerability. This can happen if the host has installed multiple
using network vulnerability scanners. Analyzing their lifecycle instances of the same application, e.g., the default installation
is challenging because it requires observing the deployment and an older version bundled with a separate application. Mul-
of patches on hosts around the world. Using data collected
over 5 years on 8.4 million hosts, available through Symantecs
tiple instances of the vulnerable code can also occur owing to
WINE platform, we present the first systematic study of patch libraries that are shared among multiple applications (e.g., the
deployment in client-side vulnerabilities. Adobe library for playing Flash content, which is included with
Adobe Reader and Adobe Air installations). These situations
We analyze the patch deployment process of 1,593 vulner-
abilities from 10 popular client applications, and we identify
break the linear model for the vulnerability lifecycle [1], [3],
several new threats presented by multiple installations of the [12], [13], which assumes that the vulnerability is disclosed
same program and by shared libraries distributed with several publicly, then a patch released, and then vulnerable hosts get
applications. We find that the median fraction of vulnerable updated. In particular, vulnerable hosts may only patch one of
hosts patched when exploits are released is at most 14%. While the program installations and remain vulnerable, while patched
patching starts within 7 days before or after disclosure for 77% of hosts may later re-join the vulnerable population if an old
the vulnerabilities, the median time to patch half of the vulnerable version or a new application with the old code is installed. This
hosts is 45 days. For the 80 vulnerabilities in our dataset that extends the window of opportunity for attackers who seek to
affect code shared by two applications, the time between patch exploit vulnerable hosts. Moreover, the owners of those hosts
releases in the different applications is up to 118 days (with
typically believe they have already patched the vulnerability.
a median of 11 days). We demonstrate two novel attacks that
enable exploitation by invoking old versions of applications that To the best of our knowledge, we present the first system-
are used infrequently, but remain installed. Finally, we show that atic study of patch deployment for client-side vulnerabilities.
the patching rate is affected by user-specific and application- The empirical insights from this study allow us to identify sev-
specific factors; for example, hosts belonging to security analysts eral new threats presented by multiple installations and shared
and applications with an automated updating mechanism have code for patch deployment and to quantify their magnitude.
significantly lower median times to patch. We analyze the patching by 8.4 million hosts of 1,593 vulner-
abilities in 10 popular Windows client applications: 4 browsers
(Chrome, Firefox, Opera, Safari), 2 multimedia players (Adobe
I. E XTENDED A BSTRACT
Flash Player, Quicktime), an email client (Thunderbird), a
In recent years, considerable efforts have been devoted document reader (Adobe Reader), a document editor (Word),
to reducing the impact of software vulnerabilities, including and a network analysis tool (Wireshark).
efforts to speed up the creation of patches in response to
Our analysis combines telemetry collected by Symantecs
vulnerability disclosures [1]. However, vulnerability exploits
security products, running on end-hosts around the world, and
remain an important vector for malware delivery [2], [3]. Prior
data available in several public repositories. Specifically, we
measurements of patch deployment [4][7] have focused on
analyze data spanning a period of 5 years available through the
server-side vulnerabilities. Thus, the lifecycle of vulnerabil-
Worldwide Intelligence Network Environment (WINE) [14].
ities in client-side applications, such as browsers, document
This data includes information about binary executables down-
editors and readers, or media players, is not well understood.
loaded by users who opt in for Symantecs data sharing
Such client-side vulnerabilities represent an important security
program. This dataset provides a unique opportunity for study-
threat, as they are widespread (e.g., typical Windows users are
ing the patching process in client applications, which are
exposed to 297 vulnerabilities in a year [8]), and they are often
difficult to characterize using the network scanning techniques
exploited using spear-phishing as part of targeted attacks [9]
employed by prior research [4][7], [15].
[11].
14
The analysis is challenging because each software vendor manually. However, only 28% of the patches in our study reach
has its own software management policies, e.g., for assigning 95% of the vulnerable hosts during our observation period.
program versions, using program lines, and issuing security This suggests that there are additional factors that influence
advisories, and also by the imperfect information available the patch deployment process. In particular, users have an
in public vulnerability databases. To address these challenges important impact on the patch deployment process, as security
we have developed a generic approach to map files in a host analysts and software developers deploy patches faster than the
to vulnerable and non-vulnerable program versions, using file general user population. Most of the vulnerable hosts remain
meta-data from WINE and VirusTotal [16], and the NVD [17] exposed when exploits are released in the wild. Our findings
and OSVDB [18] public vulnerability databases. Then, we will enable system administrators and security analysts to
aggregate vulnerabilities in those databases into clusters that assess the the risks associated with vulnerabilities by taking
are patched by the same program version. Finally, using a into account the milestones in the vulnerability lifetime, such
statistical technique called survival analysis [19], we track as the patching delay and the median time-to-patch.
the global decay of the vulnerable host population for each
vulnerability cluster, as software updates are deployed. R EFERENCES
[1] S. Frei, Security Econometrics: The Dynamics of (In)Security. PhD
Using this approach we can estimate for each vulnerability thesis, ETH Zurich, 2009.
cluster the delay to issue a patch, the rate of patching, and
[2] C. Grier et al., Manufacturing compromise: the emergence of exploit-
the vulnerable population in WINE. Using exploit meta-data as-a-service, in ACM Conference on Computer and Communications
in WINE and the Exploit Database [20], we estimate the Security, (Raleigh, NC), Oct 2012.
dates when exploits become available and we determine the [3] L. Bilge and T. Dumitras, Before we knew it: an empirical study of
percentage of the host population that remains vulnerable upon zero-day attacks in the real world, in ACM Conference on Computer
exploit releases. and Communications Security, pp. 833844, ACM, 2012.
[4] D. Moore, C. Shannon, and K. C. Claffy, Code-red: a case study on
We quantify the race between exploit creators and the the spread and victims of an internet worm, in Internet Measurement
patch deployment, and we find that the median fraction of Workshop, pp. 273284, ACM, 2002.
hosts patched when exploits are released is at most 14%. [5] E. Rescorla, Security holes... who cares, in Proceedings of the 12th
All but one of the exploits detected in the wild found more USENIX Security Symposium, pp. 7590, 2003.
than 50% of the host population still vulnerable. The start [6] T. Ramos, The laws of vulnerabilities, in RSA Conference, 2006.
of patching is strongly correlated with the disclosure date, [7] Z. Durumeric, J. Kasten, D. Adrian, J. A. Halderman, M. Bailey,
and it occurs within 7 days before or after the disclosure F. Li, N. Weaver, J. Amann, J. Beekman, M. Payer, and V. Paxson,
for 77% of the vulnerabilities in our studysuggesting that The matter of Heartbleed, in Internet Measurement Conference,
(Vancouver, Canada), Nov 2014.
vendors react promptly to the vulnerability disclosures. The
[8] S. Frei and T. Kristensen, The security exposure of software portfo-
rate of patching is generally high at first: the median time lios, in RSA Conference, March 2010.
to patch half of the vulnerable hosts is 45 days. We also
[9] W. R. Marczak, J. Scott-Railton, M. Marquis-Boire, and V. Paxson,
observe important differences in the patching rate of different When governments hack opponents: A look at actors and technology,
applications: none of the applications except for Chrome in USENIX Security Symposium, 2014.
(which employs automated updates for all the versions we [10] S. Hardy, M. Crete-Nishihata, K. Kleemola, A. Senft, B. Sonne,
consider) are able to patch 90% of the vulnerable population G. Wiseman, P. Gill, and R. J. Deibert, Targeted threat index: Char-
for more than 90% of vulnerability clusters. acterizing and quantifying politically-motivated targeted malware, in
USENIX Security Symposium, 2014.
Additionally, we find that 80 vulnerabilities in our dataset [11] S. L. Blond, A. Uritesc, C. Gilbert, Z. L. Chua, P. Saxena, and E. Kirda,
affect common code shared by two applications. In these cases, A Look at Targeted Attacks through the Lense of an NGO, in USENIX
the time between patch releases in the different applications Security Symposium, August 2014.
is up to 118 days (with a median of 11 days), facilitating [12] W. A. Arbaugh, W. L. Fithen, and J. McHugh, Windows of vulnerabil-
the use of patch-based exploit generation techniques [21]. ity: A case study analysis, IEEE Computer, vol. 33, December 2000.
We demonstrate two novel attacks that enable exploitation by [13] H. Okhravi and D. Nicol, Evaluation of patch management strategies,
invoking old version of applications that are used infrequently, International Journal of Computational Intelligence: Theory and Prac-
tice, vol. 3, no. 2, pp. 109117, 2008.
but that remain installed.
[14] T. Dumitras and D. Shou, Toward a standard benchmark for computer
II. C ONCLUSION security research: The Worldwide Intelligence Network Environment
(WINE), in EuroSys BADGERS Workshop, (Salzburg, Austria), Apr
We investigate the patch deployment process for 1,593 2011.
vulnerabilities from 10 client-side applications. We analyze [15] S. Yilek, E. Rescorla, H. Shacham, B. Enright, and S. Savage, When
field data collected on 8.4 million hosts over an observation private keys are public: results from the 2008 debian openssl vulnera-
period of 5 years, made available through the WINE platform bility, in Internet Measurement Conference, pp. 1527, ACM, 2009.
from Symantec. We show two attacks made possible by the fact [16] Virustotal. http://www.virustotal.com/.
that multiple versions of the same program may be installed [17] U.s. national vulnerability database. http://nvd.nist.gov/.
on the system or that the same library may be distributed [18] Osvdb: Open sourced vulnerability database. http://osvdb.org/.
with different software. We find that the median fraction of [19] D. G. Kleinbaum and M. Klein, Survival Analysis: A Self-Learning Text.
vulnerable hosts patched when exploits are released is at most Springer, third ed., 2011.
14%. For most vulnerabilities, patching starts around the dis- [20] Exploit database. http://exploit-db.com/.
closure date, but the patch mechanism has an important impact [21] D. Brumley, P. Poosankam, D. X. Song, and J. Zheng, Automatic patch-
based exploit generation is possible: Techniques and implications, in
on the rate of patch deployment. For example, applications IEEE Symposium on Security and Privacy, (Oakland, CA), pp. 143157,
updated automatically have a median time-to-patch 1.5 times May 2008.
lower than applications that require the user to apply patches
15
Experiences on NFC Relay Attacks with Android:

Virtual Pickpocketing Revisited
Jose Vila Ricardo J. Rodrguez
Department of Computer Science and Systems Engineering Research Institute of Applied Sciences in Cybersecurity
University of Zaragoza, Spain University of Leon, Spain
594190@unizar.es rj.rodriguez@unileon.es
Paper accepted in the 11th International Workshop on RFID Security (RFIDsec), 2015. A live
demo was performed relaying a payment transaction from New York to Madrid in real-time.
AbstractNear Field Communication (NFC) is a short-range add NFC capabilities into its devices: Apples iPhone 6 is the
contactless communication standard recently emerging as cash- first model integrated with an NFC chip, although is locked to
less payment technology. However, NFC has been proved vulner- work only with Apples contactless payment system [8]. As a
able to several threats, such as eavesdropping, data modification,
and relay attacks. A relay attack forwards the entire wireless recent market research states [9], this trend will keep growing
communication, thus communicating over larger distances. In up, expecting to reach more than 500 million of NFC payment
this paper, we review and discuss feasibility limitations when per- users by 2019.
forming these attacks in Googles Android OS. We also perform Unfortunately, NFC is insecure as claimed by several
an in-depth review of the Android implementation of the NFC works [10][13], where NFC security threats and solutions
stack. We show an experiment proving its feasibility using off-the-
shelf NFC-enabled Android devices (i.e., no custom firmware nor have been stated. Potential threats of NFC are eavesdropping,
root required). Thus, Android NFC-capable malicious software data modification (i.e., alteration, insertion, or destruction),
might appear before long to virtually pickpocket contactless and relay attacks. Eavesdropping can be avoided by secure
payment cards within its proximity. communication, while data modification may require advanced
skills and enough knowledge about RF transmission, as well as
I. I NTRODUCTION
ad-hoc hardware to perform the attack. A relay attack, defined
Near Field Communication (NFC) is a bidirectional short- as a forwarding of the entire wireless communication, allows
range (up to 10 cm) contactless communication technology to communicate over a large distance. A passive relay attack
based on the ISO-14443 [1] and the Sony FeLiCa [2] Radio forwards the data unaltered, unlike an active relay attack [14].
Frequency Identification (RFID) standards. It operates in the In this paper, we focus on passive relay attacks.
13.56 MHz spectrum and supports data transfer rates of 106, Relay attacks were thought to be difficult from a practical
216, and 424 kbps. perspective, mainly due to the physical constraints on the com-
NFC defines three operation modes: peer-to-peer, munication channel and the specialized hardware (or software)
read/write, and card-emulation mode. In peer-to-peer mode, needed. However, the eruption of NFC-enabled mobile phones
two NFC devices communicate directly with each other. (or devices) completely changes the threat landscape: most
This mode is commonly used to exchange business cards, NFC communication can be relayed even NFC payment
or credentials for establishing a network link. Read/write transactions with NFC-enabled devices.
mode allows an NFC device to communicate with an NFC Mobile malicious software (i.e., malware) usually target user
tag. Finally, card-emulation mode enables an NFC device data (such as user credentials or mobile device information),
to behave as a contactless smartcard, thus allowing to or perform fraud through premium-rate calls or SMS, but
communicate with an NFC reader/writer. we believe that the rise of NFC-enabled devices put NFC
Nowadays, NFC technology is widely used in a disparity in the spotlight for malware developers [15]. To the best
of applications, from ticketing, staff identification, or physical of our knowledge, to date there not exist any malware with
access control, to cashless payment. In fact, the contactless NFC capabilities although they might appear before long. To
payment sector seems the one where NFC has generated more prove if an NFC-capable malware might exist nowadays, in
interest, accordingly to market studies [3], [4]. As Fischer this paper we study the feasibility of passive relay attacks in
envisioned in 2009 [5], the confluence of NFC with smart Android. Android is used since it leads the global smartphone
phones can be the reason behind this fact since NFC is a way market [16] and provides a broad set of freely resources for
to bring cards to the mobile [6]. the developers.
To date, almost 300 different smart phones are (or will be The contribution of this paper is threefold: first, we provide
soon) available at the market [7]. Most of them are based on an in-depth review of Android implementation of the NFC
Googles Android OS (or Android for short), while other OS stack; second, we discuss the implementation alternatives
such as Apples iOS, BlackBerry OS, or Windows Phone OS to perform NFC relay attacks in Android; and third, we
are less representative. For instance, Apple has just started to show a practical implementation of these attacks using two
16
In brief, wide-scale botnet of Android devices running ma-

licious applications continuously seeking contactless payment
cards can lead to several problematic situations. For instance,
consider a malware that once it detects a card within its
proximity, it iteratively communicates with it sending incorrect
PIN until it blocks. Similarly, instead of blocking the card the
malware can try to guess the cardholders PIN using a similar
technique as [17], which may lead to a very large scale fraud.
(a) Scenario 1: Distributed mafia fraud
ACKNOWLEDGMENTS
This work was partially supported by the University of Leon
under contract X43.
R EFERENCES
[1] International Organization for Standardization, ISO/IEC 18092:2013:
Information technology Telecommunications and information ex-
change between systems Near Field Communication Interface and
(b) Scenario 2: Hiding fraud locations Protocol (NFCIP-1), Geneva, Switzerland, March 2013.
[2] Japanese Industrial Standard, JIS X 6319-4:2010: Specification
Figure 1. Threat scenarios of NFC passive relay attacks by Android malware. of implementation for integrated circuit(s) cards Part
4: High speed proximity cards, October 2010. [Online].
Available: http://www.webstore.jsa.or.jp/webstore/PrevPdfServlet?dc=
JIS&fn=pre jis x 06319 004 000 2010 e ed10 i4.pdf
NFC-enabled mobile phones running an off-the-shelf (OTS) [3] C. Oak, The year 2014 was a tipping point for NFC payments,
Android (i.e., no custom firmware nor root permissions). Our [Online], http://www.finextra.com/blogs/fullblog.aspx?blogid=10382.
[4] C. de Looper, Mobile Payment Boasts Rosy Future, But
findings put in evidence that these scenarios are nowadays Some Obstacles Remain in Play, [Online], January 2015,
feasible, requiring permission only of NFC and relay commu- http://www.techtimes.com/articles/24762/20150106/mobile-payments-
nication link chosen (e.g., Bluetooth, WiFi, or GPRS). This worth-130-billion-2020.htm.
[5] J. Fischer, NFC in Cell Phones: The New Paradigm for an Interactive
issue clearly supposes a high security risk: An NFC-capable World, IEEE Commun. Mag., vol. 47, no. 6, pp. 2228, June 2009.
malware installed on an Android device can interact with [6] A. Boysen, NFC is the bridge from cards to the mobile, [On-
any contactless payment cards in its proximity, being able to line], January 2015, http://www.secureidnews.com/news-item/nfc-is-the-
bridge-from-cards-to-the-mobile/.
conduct illegal transactions. Current limitations and feasibility [7] NFC World, NFC phones: The definitive list, [Online], January 2015,
of some malware attack scenarios are also introduced. http://www.nfcworld.com/nfc-phones-list/.
[8] M. Reardon and S. Tibken, Apple takes NFC mainstream on
iPhone 6; Apple Watch with Apple Pay, [Online], September 2014,
II. T HREAT S CENARIOS http://www.cnet.com/news/apple-adds-nfc-to-iphone-6-with-apple-pay/.
[9] Juniper Research Limited, Apple Pay and HCE to Push NFC Payment
Fig. 1 depicts a pair of threat scenarios. In Fig. 1(a), we Users to More Than 500 Million by 2019, [Online], October 2014,
envisioned a network of Android infected devices (i.e., a http://www.juniperresearch.com/viewpressrelease.php?pr=483.
botnet) that communicate with the bot master when a con- [10] E. Haselsteiner and K. Breitfu, Security in Near Field Communication
(NFC) Strengths and Weaknesses, in Proceedings of the Workshop
tactless payment card is detected. The bot master can use this on RFID Security and Privacy, 2006, pp. 111.
smartcard to conduct illegal transactions with a honest verifier, [11] G. Madlmayr, J. Langer, C. Kantner, and J. Scharinger, NFC Devices:
or even multiple transactions at the same time collaborating Security and Privacy, in Proceedings of the 3rd International Confer-
ence on Availability, Reliability and Security (ARES), 2008, pp. 642647.
with multiple dishonest verifiers. We named this attack as [12] S. Timalsina, R. Bhusal, and S. Moh, NFC and Its Application to
distributed mafia fraud. Fig. 1(b) foresees the same scenario Mobile Payment: Overview and Comparison, in Proceedings of the 8th
than before, but with multiple dishonest provers committing International Conference on Information Science and Digital Content
Technology, vol. 1, 2012, pp. 203206.
fraud at the same time, as a way to hide their real location. [13] G. V. Damme and K. Wouters, Practical Experiences with NFC Security
Note that contactless payment cards implement security on mobile Phones, in Proceedings of the 2009 International Workshop
mechanisms such as PIN after consecutive uses or checking on RFID: Security and Privacy Issues, 2009, pp. 113.
[14] G. Hancke, K. Mayes, and K. Markantonakis, Confidence in smart
of atypical payment locations. These mechanisms clearly token proximity: Relay attacks revisited, Computers & Security, vol. 28,
minimise the impact of the second threat scenario envisioned. no. 7, pp. 615627, 2009.
[15] A. P. Felt, M. Finifter, E. Chin, S. Hanna, and D. Wagner, A Survey of
Lastly, let us remark a limitation of these attacks performed Mobile Malware in the Wild, in Proceedings of the 1st ACM Workshop
as an Android malware. Since read/write operation mode on Security and Privacy in Smartphones and Mobile Devices. ACM,
in Android is only reachable by activities, an NFC-capable 2011, pp. 314.
[16] International Data Corporation, Smartphone OS Market Share, Q3
Android malware detecting a smartcard in its proximity range 2014, [Online], 2014, http://www.idc.com/prodserv/smartphone-os-
starts execution in foreground. That is, when the infected de- market-share.jsp.
vice is screen-locked, the malware cannot begin its execution [17] M. Emms, B. Arief, N. Little, and A. van Moorsel, Risks of Offline
Verify PIN on Contactless Cards, in Financial Cryptography and Data
until screen is unlocked. However, note that a malware with Security, ser. LNCS, vol. 7859. Springer Berlin Heidelberg, 2013, pp.
root permissions or behaving as a fake app can bypass this 313321.
limitation.
17
1
C ARONTE:
Detecting Location Leaks for
Deanonymizing Tor Hidden Services
Srdjan Matic, Platon Kotzias, and Juan Caballero
Universita degli Studi di Milano, srdjan.matic@unimi.it
IMDEA Software Institute, {platon.kotzias,juan.caballero}@imdea.org
The full version of this paper will appear in the Proceedings of the 2015 ACM SIGSAC Conference on
Computer and Communications Security.
Abstract 9, and Hydra drug markets. The operation lead to the arrest
Anonymity networks as Tor are a critical privacy-enabling technology. of at 17 people and the confiscation of $1 million in Bitcoin
Tors hidden services provide both client and server anonymity. This pa-
per presents C ARONTE, a tool to automatically identify location leaks in
and $250,000 in cash, gold, silver, and drugs [7]. In both take-
hidden services, i.e., sensitive information served by the hidden service downs the deanonymization method used by law enforcement
that discloses the servers IP address. C ARONTE implements a novel ap- to locate the hidden services remains unknown [8, 9].
proach that does not rely on flaws on the Tor protocol and assumes an
open-world, i.e., it does not require a list of candidate servers known in B. Related Work
advance. We apply C ARONTE to 1,974 hidden services, fully recovering
the IP address of 101 (5%) of them. Prior work has proposed attacks to deanonymize Tor hid-
den services through flaws on the Tor protocol [10, 11] and
I. E XTENDED ABSTRACT clock-skew fingerprinting [12, 13]. Attacks on the Tor proto-
col are promptly fixed by the Tor project. For example, the
A. Motivation attack by verlier and Syverson [10] was fixed by introducing
The increasing surveillance of communications have made guard nodes and the more recent attack by Biryukov et al. [11]
anonymity networks a critical privacy-enabling technology. has also been fixed [14]. Attacks leveraging clock-skew fin-
Tor [1] is arguably the most popular anonymity network. It pro- gerprinting assume a closed-world where a short list of pos-
vides both sender anonymity and recipient anonymity for hid- sible candidate servers is known and the fingerprinting vali-
den services. Hidden services protect the location (i.e., IP ad- dates which candidate is the hidden server. Deanonymization
dress) of the server hosting the hidden service. In addition, they attacks have also been proposed for the equivalent of hidden
further protect against network-level eavesdropping by provid- services in I2P (called eepSites) [15]. These attacks also as-
ing encryption all the way from the client to the hidden service. sume a closed-world, where the IP addresses of I2P peers are
This includes the communication between the last Tor relay and candidate servers for eepSites.
the hidden service, even when the application traffic is not en-
crypted. C. Contributions
Hidden services are used among others for storing whistle- This paper studies the problem of location leaks, i.e., in-
blowing documents that corporations or governments may formation in the content or configuration of a hidden service
want to censor and for hosting political dissident blogs. They that gives away its location. Location leaks are introduced by
are also abused for running malware command-and-control the hidden service administrators and cannot be centrally fixed
servers [24] and for hosting black markets selling any kind by the Tor project. Deanonymizing hidden services through
of goods including drugs and guns. Thus, censors and law- location leaks does not require the attacker to be part of the
enforcement agencies have great interest in deanonymizing anonymity network, but only to access the hidden services.
hidden services, i.e., finding the hidden servers IP address. Such leaks are a well-known problem for hidden services,
Once the IP address is revealed, the hidden service can be taken but their extent is currently unknown. They are also likely can-
down, its content seized, and their owners identified and possi- didates for the above takedowns. For example, the FBI claimed
bly arrested. in court that they located the server of the original Silk Road
There have been some notorious takedowns of hidden ser- through a leak of its IP address when visiting the site [16]. The
vices by law enforcement. In July 2013, law enforcement iden- FBI story has been disputed [16, 17], but researchers still be-
tified the location of the Silk Road marketplace, where prod- lieve it is likely that the takedown was due to a leak in the
ucts such as cocaine, heroin, LSD, and counterfeit currencies servers configuration [16]. Furthermore, while several drug
were traded [5]. The service was taken down, its records cap- markets were taken down in operation Onymous, other lead-
tured, $25 million in Bitcoin seized (and later auctioned), and ing hidden service drug markets (e.g., Agora, Evolution, An-
the sites administrator and at least a dozen of the top sellers ar- dromeda) as well as child pornography and financial fraud sites
rested [6]. After the Silk Road takedown other similar hidden were unaffected. This points to the problem being site-specific
services took its place. In November 2014, an international rather than a Tor protocol compromise.
law-enforcement operation codenamed Onymous, took down In this paper we propose a novel approach to deanonymize
over 400 hidden services including the Silk Road 2.0, Cloud hidden services using a subset of location leaks in an open-
18
2
world, i.e., without previous knowledge of a set of candidate content and configuration. C ARONTE implements a novel ap-
servers. Our approach includes two steps. First, we pro- proach to deanonymize hidden services that does not rely on
pose techniques to extract candidate Internet endpoints (i.e., flaws on the Tor protocol and assumes an open-world, i.e., it
domains and IP addresses that may correspond to the hidden does not assume a short list of candidate servers is known in ad-
server) from the content and configuration of a hidden service. vance. Instead, it implements novel techniques to identify can-
Our techniques examine endpoints and unique identifiers in the didate servers from the content and configuration of a hidden
content and the HTTPS certificates. This step allows moving service, which enable moving from an open-world to a closed-
from an open-world to a closed-world. Then we validate each world.
candidate pair hhidden service, Internet endpointi, check- Using C ARONTE we perform the first measurement study
ing if the Internet endpoint corresponds to the Web server host- on the prevalence of location leaks in hidden services. Out
ing the hidden service. Previous work that leverages leaks on of 1,974 live HTTP hidden services, C ARONTE success-
a servers clock skew [12, 13] or software version [15] assume fully deanonymizes the location of 5% of them. Of the
a closed-world and use the leaks only for validation. In con- deanonymized hidden services 21% are running on Tor relays.
trast, our approach leverages location leaks to obtain also the The remaining 79% could not be deanonymzed in a close-
candidate servers. world.
We implement our approach in a tool called C ARONTE,
which takes as input the URL of a hidden service and tries B IBLIOGRAPHY
to deanonymize it through location leaks. C ARONTE can be [1] 1 Roger Dingledine and Nick Mathewson and Paul Syverson, Tor: The
Second-generation Onion Router, Proceedings of the 13th USENIX Se-
used by hidden service administrators to check their site for curity Symposium, 2004.
a subset of content and configuration errors that can lead to [2] N. Hopper, Short Paper: Challenges in Protecting Tor Hidden Services
deanonymization. If it manages to recover the hidden services from Botnet Abuse, Proceedings of the 18thInternational Conference on
Financial Cryptography and Data Security, 2014.
IP address, it provides proof of the need to improve operational [3] Kaffeine, Guess who is back again, Cryptowall, http:
security. However, it only tests for a subset of potential leaks //malware.dontneedcoffee.com/2015/01/guess-whos-
for which we can automate validation. Thus, it cannot guaran- back-again-cryptowall-30.html, January 2015.
[4] D. H. Lipman, Mailing list post: [tor-talk] vwfws4obovm2cydl.onion?,
tee the hidden service is free of location leaks. https://lists.torproject.org/pipermail/tor-
talk/2012-June/024565.html, June 2012.
D. Evaluation [5] Nicolas Christin, Traveling the Silk Road: A measurement analysis of a
large anonymous online marketplace, Proceedings of the 22nd interna-
To test C ARONTEs effectiveness we have applied it to 1,974 tional conference on World Wide Web, pp. 213224, 2013.
live HTTP and HTTPS hidden services, of which C ARONTE [6] Kim Zetter, Wired: How the Feds Took Down the Silk Road
Drug Wonderland, http://www.wired.com/2013/11/silk-
recovers the IP address of 101 (5%). Our results can be con- road/, November 2013.
sidered the first measurement study of location leaks in Tor [7] Andy Greenberg, Wired: Global Web Crackdown Arrests 17, Seizes
hidden services. Since C ARONTE is designed to look only Hundreds Of Dark Net Domains, http://www.wired.com/
2014/11/operation-onymous-dark-web-arrests/,
for a small subset of location leaks and can only verify the November 2014.
leaks in some server configurations, its results are conserva- [8] Tor Project, Tor and the Silk Road takedown, https://blog.
torproject.org/blog/tor-and-silk-road-takedown,
tive, i.e., some services not deanonymized could still be vul- October 2013.
nerable. We cross-reference the hidden services C ARONTE [9] Tor Project, Thoughts and Concerns about Operation Onymous,
deanonymizes with the list of hidden services deanonymized https://blog.torproject.org/blog/thoughts-and-
concerns-about-operation-onymous, November 2014.
in operation Onymous [18]. We find 2 onion addresses in [10] Lasse verlier and Paul Syverson, Locating Hidden Servers, Proceed-
common and another 5 hidden services that when C ARONTE ings of the IEEE Symposium on Security and Privacy, 2006.
deanonymized them they were hosted on a different onion ad- [11] Alex Biryukov and Ivan Pustogarov and Ralf-Philipp Weinmann, Trawl-
ing for Tor Hidden Services: Detection, Measurement, Deanonymiza-
dress. While we do not know if law enforcement used location tion, Proceedings of the IEEE Symposium on Security and Privacy,
leaks to deanonymize those hidden services, we do know that 2013.
some of the deanonymized sites did not have strong operational [12] Steven J. Murdoch, Hot or Not: Revealing Hidden Services by Their
Clock Skew, Proceedings of the 13th ACM Conference on Computer
security. Those sites could have used C ARONTE to get an early and Communications Security, 2006.
warning of their problems. [13] Sebastian Zander and Steven J. Murdoch, An Improved Clock-skew
Our results also show that 21% of the deanonymized ser- Measurement Technique for Revealing Hidden Services, Proceedings
of the 17th USENIX Security Symposium, 2008.
vices are hosted on Tor relays. Hidden services on Tor relays [14] Alex Biryukov and Ivan Pustogarov and Fabrice Thill and Ralf-Philipp
can easily be deanonymized, even in the absence of location Weinmann, Content and Popularity Analysis of Tor Hidden Services,
leaks, assuming a closed-world where relays IP addresses are Proceedings of the First International Workshop on Big Data Analytics
for Security, June 2014.
candidate locations for a hidden service. It also shows the im- [15] Adrian Crenshaw, Darknets and hidden servers: Identifying the true
portance of assuming an open-world, as 79% of hidden ser- IP/network identity of I2P service hosts, Black Hat DC, 2011.
[16] Robert Graham, Reading the Silk Road configuration,
vices C ARONTE deanonymizes cannot be deanonymized under http://blog.erratasec.com/2014/10/reading-silk-
the closed-world assumption. C ARONTE also identifies 9 hid- road-configuration.html, October 2014.
den services that redirect their users to Internet sites through [17] Bryan Krebs, Silk Road Lawyers Poke Holes in FBIs Story,
http://krebsonsecurity.com/2014/10/silk-road-
HTTP, negating the benefit of encryption in the last hop. lawyers-poke-holes-in-fbis-story/, October 2014.
[18] Nik Cubrilovic, Large Number of Tor Hidden Sites Seized by the FBI
E. Conclusion in Operation Onymous were Clone or Scam Sites, https://www.
nikcub.com/posts/onymous-part1/, November 2014.
In this paper we have presented C ARONTE, a tool to
deanonymize hidden services through location leaks in their
19
Prevencion de ataques ROP mediante

Instrumentacion Dinamica
Miguel Martn Perez , Ricardo J. Rodrguez , Vctor Vinals
Departamento de Informatica e Ingeniera de Sistemas, Universidad de Zaragoza
Instituto de Ciencias Aplicadas a la Ciberseguridad, Universidad de Leon
{566966, victor}@unizar.es, rj.rodriguez@unileon.es

W ORK IN PROGRESS
Return-Oriented Programming (ROP) es una de paso correspondientes a dicha funcion. As, si
de las principales tecnicas de ataque de software del un programa es atacado, su traza de ejecucion no
panorama actual [1], ya que permite a un atacante coincidira con el automata y se detectara el ataque.
ejecutar codigo arbitrario existente en el espacio de Se ha optado por DBI por las caractersticas de
direcciones del programa. As, un atacante aprove- portabilidad y adaptabilidad que aporta. Respecto a
cha una vulnerabilidad (por ejemplo, un desborda- la portabilidad, el uso de DBI permite la aplicacion
miento de buffer) para inyectar una secuencia de de la defensa sobre cualquier programa, ya que al
direcciones que apuntan a pequenos conjuntos de actuar sobre el binario no requiere el codigo fuente.
instrucciones, llamados gadgets. Estos gadgets se En lo referente a la adaptabilidad, la posibilidad
caracterizan por acabar en una instruccion de cam- de analizar e instrumentar en ejecucion permite
bio de flujo, habitualmente un retorno de subrutina que la defensa pueda adaptarse rapidamente a los
que permite encadenar un gadget con otro, y por ser cambios, por ejemplo, obteniendo los puntos de
codigo legtimo (es decir, perteneciente a la seccion paso de una funcion creada en ejecucion mediante
de codigo del programa o a la de cualquier otra codigo auto-modificable o instrumentando codigo
librera usada por el mismo). no intencionado direccionado desde un ataque. La
Sin embargo, el hecho de que sea codigo legtimo desventaja de usar DBI e instrumentar directamente
no implica que sea intencionado, ya que en las binarios es la dificultad de generar grafos de flujo
arquitecturas con tamano variable de instruccion de las funciones (de los que se obtienen los puntos
todo byte perteneciente a la seccion de codigo es de paso) ya que los binarios carecen de smbolos
susceptible de ser interpretado como el principio o nombres de funciones incluso cuando estas son
de una instruccion. As, un atacante puede utilizar exportadas. Esto implica que, antes de comenzar la
estas instrucciones no intencionadas para localizar ejecucion de un fragmento de codigo, ha de hacerse
los gadgets que necesita y no existen en el binario un analisis sintactico para obtener tanto los puntos
original. de paso como el principio y final de las funciones.
En este trabajo, tras analizar los ataques ROP, El diseno que proponemos ofrece ciertas carac-
se plantea una tecnica de deteccion de ataque en tersticas que garantizan la robustez de la defensa
ejecucion mediante instrumentacion dinamica de bi- independientemente de la implementacion. Primero,
narios (Dynamic Binary Instrumentation, DBI) [2]. no se usa ningun dato pasado al programa para la
La deteccion se realiza aplicando un Control de deteccion de los ataques, ya que el modo en que
Integridad de Flujo (CFI) mediante un automata se realizan los ataques es mediante estos datos y su
de pila [3], el cual ira consumiendo puntos de comprobacion o manipulacion podran ser origen de
paso conforme el programa pase por ellos. Con una vulnerabilidad que permita atacar la defensa en
cada llamada a una funcion en el programa, se lugar de al programa. En su lugar, lo que se controla
iran anadiendo en la pila del automata los puntos y almacena son los estados del procesador (concre-
20
perlbench bzip2 gcc gobmk hmmer sjeng libquantum h264ref omnetpp astar Xalan specrand
Base (s) 484.3575 763.5413 473.0578 460.8152 706.0565 634.9261 222.4177 713.5450 515.4308 534.0191 344.2357 0.4091
Pin Null 1.8491x 1.1887x 1.5895x 1.4497x 1.1325x 1.4741x 1.2951x 1.8465x 1.2059x 1.1124x 1.3941x 6.2298x 1.8140x
PROPID 1.8532x 2.0960x 4.1527x 4.1330x 1.1325x 1.4725x 1.2829x 1.8434x 1.2063x 1.1307x 11.7568x 6.2928x 3.1961x
Tabla I
S OBRECARGA INTRODUCIDA POR P IN Y PROPID.
tamente, el contador de programa). Segundo, se han Como posible trabajo futuro se plantea otro CFI
aislado las estructuras de control de la defensa de que asegure la ejecucion completa de las funciones,
las estructuras y datos propios del programa, para evitando as la ejecucion de gadgets por no pasar
evitar que una corrupcion de memoria intencionada por el punto de entrada. Para garantizar la integridad
pudiera modificar la estructura de la defensa para de las funciones, se puede usar una estructura de
evadirla. marcas LIFO, de forma que al pasar por el punto
Hemos implementado esta idea sobre la arquitec- de entrada se anadiera a la estructura una marca
tura x86 de Intel/AMD usando PIN, una herramien- unica y al final de cada funcion se verificara que
ta DBI de Intel [4]. Nuestro prototipo se denomina la ultima marca existente es correcta y se eliminara.
PROPID (Prevencion de ataques ROP en ejecucion
mediante Instrumentacion Dinamica) y es efectivo R EFERENCIAS
en la proteccion de ataques ROP verificando un [1] H. Shacham, The Geometry of Innocent Flesh on the Bone:
principio muy simple: la direccion a la que vuelve Return-into-libc Without Function Calls (on the x86), in
una instruccion RET debe coincidir con la guardada Proceedings of the 14th ACM Conference on Computer and
Communications Security (CCS). New York, NY, USA:
en el CALL correspondiente, respetando el nivel ACM, 2007, pp. 552561.
de anidacion de la llamada. Para demostrar que [2] K. Liu, H. B. K. Tan, and X. Chen, Binary Code Analysis,
la defensa funciona se ha creado una prueba de Computer, vol. 46, no. 8, pp. 6068, 2013.
[3] D. Wagner and D. Dean, Intrusion detection via static
concepto con una vulnerabilidad preparada para su analysis, in Proceedings of the 2001 IEEE Symposium on
explotacion y se ha buscado un software comercial Security and Privacy, 2001, pp. 156168.
con una vulnerabilidad conocida, VLC 0.9.6 [5]. En [4] C.-K. Luk, R. Cohn, R. Muth, H. Patil, A. Klauser, G. Low-
ney, S. Wallace, V. J. Reddi, and K. Hazelwood, Pin:
ambos casos PROPID detecta el ataque antes de la Building Customized Program Analysis Tools with Dynamic
ejecucion del primer gadget. Instrumentation, in Proceedings of the 2005 ACM SIG-
Por ultimo, hemos ejecutado el benchmark SPEC PLAN conference on Programming Language Design and
Implementation (PLDI), ser. PLDI 05. New York, NY,
CPU 2006int con dos objetivos [6]. Primero, se USA: ACM, 2005, pp. 190200.
ha comprobado que PROPID no produce falsos [5] Exploit Database, VLC Media Player < 0.9.6 - (.rt) Stack
positivos. Y segundo, se ha medido la sobrecarga Buffer Overflow Exploit, [Online], November 2008, https:
//www.exploit-db.com/exploits/7051/.
introducida por Pin y por la defensa. Los resultados [6] SPEC, SPEC CPU 2006, https://www.spec.org.
se resumen en la Tabla I. El slowdown medio o [7] G.-R. Uh, R. Cohn, B. Yadavalli, R. Peri, and R. Ayyagari,
bajada de rendimiento medio, producido por Pin sin Analyzing dynamic binary instrumentation overhead, in
WBIA Workshop at ASPLOS, 2006.
instrumentacion es de 1.81x, que coincide con los
resultados descritos en [7]. Los programas con tiem-
pos de ejecucion muy breves tienen una sobrecarga
mucho mayor por tener amortizar antes el tiem-
po consumido por Pin. Por ejemplo, el programa
specrand tarda 2.54s cuando se instrumenta con
Pin, teniendo un tiempo base de 0.4s. Las pruebas
preliminares de PROPID dan un slowdown medio
de 3.19x, con un maximo de 11.75x para Xalan.
En general consideramos que es un resultado pro-
metedor que creemos poder mejorar.
21
1
Robustenciendo Apache Frente a Ataques de

Desbordamiento de Pila
Hector Marco e Ismael Ripoll
Universitat Politenica de Valencia
{hecmargi,iripoll}@upv.es http://cybersecurity.upv.es
Resumen Apache es el servidor web mas utilizado, por ceso hijo por un nuevo valor aleatorio cuando la llamada
lo que encontrar un fallo afecta a muchos sistemas, lo que fork() es invocada.
alienta a los atacantes a explotar vulnerabilidades en estos
servidores. Volver a randomizar el canario en tiempo de ejecucion
Uno de los vectores de ataque mas explotado es el des- fue planteado por H.Marco et al. [4] como medida preven-
bordamiento de pila. Un ejemplo, es el reciente ataques tiva frente a los ataques de fuerza bruta contra el canario
llamado Offset2lib, el cual bypasea tanto el SSP como el
ASLR en menos de un segundo. Por ello, es imperativo
en ataques de desbordamiento de pila.
aplicar mecanismos de proteccion que prevengan ataques Puesto que el valor del canario que protege los datos
de este tipo. sensibles del marco de pila actual debe ser invariante al
En este trabajo se estudia la viabilidad de aplicar la inicio y la concluir la funcion (de hecho, si el canario ha
tecnica renewSSP la cual elimina todo tipo de ataques de
fuerza bruta contra el SSP en servidores Apache. Se con- sido modificado antes de retornar, el proceso se aborta),
cluye que el renewSSP puede ser aplicado de forma trans- solo se puede cambiar el valor de canario si y solo s se
parente sin necesidad de modificar el codigo de Apache y dan las siguientes condiciones:
con un sobrecarga inapreciable.
1. La funcion del proceso hijo donde se cambia el canario
nunca vuelve a la funcion llamadora, o
I. Introduccion 2. La funcion donde se cambia el canario vuelve a la
Apache es un servidor web ampliamente conocido y ac- funcion llamadora (o alguna de sus antecesoras) pero no
tualmente sigue siendo el mas utilizado [1]. Desafortu- comprueba el canario.
nadamente, esto hace que sea tambien uno de los mas Puesto que la renovacion del canario se realiza una unica
atacados. Tanto Apache como el resto de servidores de vez al inicio de la ejecucion del proceso hijo y esta con-
red deben ser a la vez robustos y rapidos. Es por ello que siste en obtener un numero aleatorio, la sobrecarga es
en general solo se utilicen tecnicas de proteccion con una practicamente inapreciable.
sobrecarga muy baja. RenewSPP es una ayuda efectiva para prevenir la in-
Uno de los vectores mas conocidos y utilizados por los feccion de sistemas frente spyware, adware y otros ame-
atacantes continua siendo el clasico desbordamiento de nazas desconocidas. Mas detalles sobre esta nueva tecnica
pila. Existen tecnicas de proteccion como el NX (Non- en [4].
eXecutable), SSP (Stack Smashing Protector) o Address
Space Layout Randomization (ASLR) que reducen en gran III. Apache 2
medida el exito de los atacantes. Desgraciadamente, to- El servidor web Apache puede ejecutarse en diferentes
dava existen ataques que logran circunvalar estas pro- modos dependiendo del grado de seguridad o rendimiento
tecciones. Un ejemplo es el reciente ataque llamado Off- que se desee. Basicamente se pueden diferenciar dos mo-
set2lib, el cual bypasea todas estas tecnicas de proteccion. dos de ejecucion: el modelo de hilos (threaded) y el modelo
Este ataque, en su version mas rapida y peligrosa, utiliza de procesos (forking). En el primer caso, cada peticion
un ataque de fuerza bruta conocido como byte-for-byte [2] es atendida por un hilo lo cual tiene mayor rendimiento y
para derrotar al SSP, lograndolo en menos de un segundo. menor consumo de memoria, pero es mas inseguro. Esto es
En este papel se presenta un breve resumen de la tecnica as por que si un hilo termina incorrectamente, la ejecucion
RenewSSP y como esta se puede utilizar en el servidor de los demas hilos, sera abortada. Como consecuencia,
Apache de dos formas diferentes: de forma transparente todas las conexiones asociadas a cada hilo de ejecucion se
sin modificar el binario de Apache (mediante la carga de cerraran, aunque estos no hayan generado error, pudiendo
una librera previa, LD PRELOAD), y por otra parte, modi- provocar una denegacion de servicio a otros usuarios.
ficando los fuentes. En forking model, cada peticion web es atendida por
un proceso, evitando as que un error (intencionado o no)
II. RenewSSP afecte a los demas clientes. Aunque el consumo de recursos
RenewSSP [3] es una modificacion de la tecnica de pro- es un poco mayor, es el modelo mas utilizado ya que se
teccion Stack Smashing Protector (SSP) la cual elimina consigue mayor grado de seguridad. Por otra parte, el
los ataques de fuerza bruta contra el canario de pila. La protocolo http es stateless lo que permite que cada peticion
tecnica consiste en renovar el valor del canario de un pro- se puede manejar de forma completamente independiente,
haciendo al modelo forking el mas recomendable. En este
Financiado por la Universitat Politecnica de Valencia 2014-4186. trabajo se considerara solo el modelo de procesos.
22
2
que incrustara el codigo de las funciones make child()

y child main() en una sola funcion. Por otra parte,
dado que la funcion child main() termina llamando a
clean child exit(), se garantiza que no se vuelve a
la funciona llamadora con lo que el RenewSSP se puede
aplicar de manera transparente. Observese que aunque
solo una condicion es necesaria, se cumplen las dos.
B. RenewSSP modificando Apache

Fig. 1: Multi-process model en Apache
La otra forma de aplicar la tecnica RenewSSP es modif-
icando el codigo de la aplicacion. A continuacion se mues-
Aunque el esquema forking model en principio propor-
tra cuales seran los cambios necesarios en el codigo fuente
ciona mas seguridad y estabilidad, abre las puertas a otros
de Apache para aplicar el RenewSSP.
vectores de ataques. En concreto, es susceptible a ataques
de fuerza bruta contra el canario (usado en la tecnica +++ void renewSSP() {
SSP), siendo la variante conocida como byte-by-byte at- +++ unsigned long rnd = 0;
+++ getrandom(&rnd, sizeof(rnd)-1, 0);
tack una de las mas peligrosas [2]. Por ello es interesante +++ THREAD SET STACK GUARD(rnd);
disponer de nuevos mecanismos de proteccion que elim- +++ }
inen la posibilidad de realizar este tipo de ataques. En static int make_child(...) {
if ((pid = fork()) == -1) {
las proximas secciones se describe como la tecnica de pro- ...
teccion RenewSSP se aplica a Apache. }
if (!pid) {
IV. RenewSSP en Apache 2 ...
+++ renewSSP();
La tecnica RenewSSP puede ser usada por las aplica-
child_main();
ciones bien de manera transparente o mediante mnimas }
modificaciones del codigo fuente de la aplicacion. A con- }
tinuacion se detallan estas dos formas aplicadas a Apache.
Listing 2: Modificaciones de Apache
A. RenewSSP sin modificar Apache
Como se puede apreciar en el codigo 2, tanto los cam-
La manera mas sencilla y rapida de usar RenewSSP en bios como sobrecarga temporal introducida son mnimos.
una aplicacion es reemplazando las funciones involucradas Solamente se necesita una llamada a renewSSP() justo
en la creacion de nuevos procesos: fork() o clone(). La al principio de empezar a ejecutarse el nuevo hijo
nueva funcion fork es un pequeno wrapper que despues de creado. La funcion renewSSP() es la que cambia el ca-
llamar a la funcion fork nativa renueva el canario llamando nario obteniendo un numero aleatorio mediante la syscall
a la funcion renewSSP() (ver el codigo 2) de referencia en getramdom().
el proceso hijo.
V. Conclusiones
static void startup_children (int number_to_start) {
for (...) { Se ha estudiado la viabilidad de la novedosa tecnica
make_child(...);
RenewSSP en servidores Apache actuales (2.4.7). Se han
}
... presentado dos metodos alternativos de aplicacion de la
} tecnica de proteccion.
static int make_child(...) { Tal como era de esperar, la tecnica se ha podido aplicar
if ((pid = fork()) == -1) {
... con exito sin necesidad de modificar la logica de Apache.
} La evaluacion experimental (no presentada en este
if (!pid) { artculo corto) muestra que: 1) no es posible realizar
...
child_main();
ataques de fuerza bruta; 2) no introduce sobrecarga med-
} ible.
}
static void child_main(int child_num_arg){ Referencias
...
[1] (2015, January) Netcraft. [Online]. Avail-
clean_child_exit(0); able: http://news.netcraft.com/archives/2015/01/15/january-
} 2015-web-server-survey.html
[2] A. pi3 Zabrocki, Scraps of notes on remote stack
Listing 1: Creacion de procesos hijo en Apache 2 overflow exploitation, November 2010. [Online]. Available:
http://www.phrack.org/issues.html?issue=67&id=13#article
El codigo del listado 1 muestra las funciones de Apache [3] (2014, April) RenewSSP. [Online]. Available:
involucradas en la creacion de los procesos hijos. Todas es- http://renewssp.com
[4] H. Marco-Gisbert and I. Ripoll, Preventing brute force attacks
tas funciones estan declaradas como static, por lo que el against stack canary protection on networking servers, in 12th
compilador1 no generara una llamada a funcion real, sino International Symposium on Network Computing and Applica-
tions, August 2013, pp. 243250.
1 Puesto que Apache esta compilado el maximo nivel de opti-
mizacion.
23
1
Prevencion de Explotacion de Vulnerabilidades

Mediante Diversificacion por Emulacion
Ismael Ripoll y Hector Marco
Universitat Politecnica de Valencia
{iripoll,hecmargi}@upv.es http://cybersecurity.upv.es
Resumen parte, el coste economico se cuadruplicaba; y en el aspecto

Las tecnicas de emulacion y virtualizacion se han uti- tecnico se comprobo que los humanos tendan a cometer el
lizado en el campo de la seguridad como soporte a ar-
quitecturas MILS (Multiple Independent Levels of Secu- mismo tipo de fallos ante los mismos problemas. La con-
rity/Safety). En este papel se presenta otra novedosa apli- clusion fue que no era practica la diversificacion producida
cacion de la emulacion como forma para conseguir diversi- por humanos.
ficacion software, a partir de la cual se propone construir
una arquitectura N-modular-redundante software (Diversi-
En este papel se presenta un breve resumen de la
fied Replication Infrastructure Though Architecture Emu- situacion de las tecnicas de diversificacion automatica de
lation, DRITAE) capaz de detectar y evitar la explotacion software, y se esboza una posible lnea de investigacion
de fallos de programacion. que dara (muy posiblemente) como resultado una arqui-
DRITAE es una solucion robusta en la medida que per-
mite mantener la continuidad del servicio incluso ante tectura segura de alta integridad: DRITAE.
ataques de fuerza bruta. Por otra parte, impide la ejecucion
de codigo remota convencional: la mayora de los exploits II. Conceptos y terminologa
que emplean ROP (Return Oriented Programming) seran
bloqueados. Se denomina variante a cada uno de los ejecutable/pro-
cesos que se obtienen tras la diversificacion. Las
I. Introduccion propiedades que deben tener las variantes son:
Cuando las tres variantes reciben datos que no generan
En la practica es imposible disenar e implementar un fallo, las salidas deben ser equivalentes. Esto es, todas las
sistema libre de fallos. Esto nos obliga a anadir mecan- variantes deben ser semanticamente equivalentes.
ismos de tolerancia a fallos en aquellos sistemas utiliza- Cuando los datos de entrada generan algun fallo, en-
dos en tareas sensibles (sistemas de alta integridad, in- tonces las salidas deben ser distintas en cada modulo. En
fraestructuras crticas, manejo de datos confidenciales o caso contrario, las variantes no serviran para detectar
privados, etc.). fallos.
La tolerancia a fallos se basa en la redundancia. Un caso Una vez se dispone de las variantes, se pueden disenar
particular son los sistemas TMR (Triple Modular Redun- varios esquemas redundantes: recovery blocks [2], n-
dancy), donde el mismo dispositivo es replicado tres veces variant [3], alternancia de variantes [4], etc.
y configurado de forma que los tres dispositivos operen en Existen multitud de propuestas para lograr la diversi-
paralelo junto con un votador/comparador que valida las ficacion automatica. En general, podemos clasificarlas en
salidas. El objetivo de un TRM es el de tolerar los fal- dos grandes grupos:
los derivados de los errores (errores fsicos o logicos). La Diversificacion en tiempo de compilacion. Dado
tecnica TMR se aplica en casi todos los ambitos de los sis- un codigo fuente, se modifica el compilador o el linker para
temas hardware, desde simples celdas de memoria hasta que genere codigo binario diferente en cada compilacion.
procesadores completos, como por ejemplo la serie Leon*- Diversificacion durante la carga del proceso.
FT (empleado por la ESA en las misiones espaciales). Ciertas caractersticas del proceso se modifican al cargarse
Desgraciadamente, una solucion tan sencilla, potente y en memoria. ASLR (Address Space Layout Randomiza-
flexible no es aplicable directamente al software ya que tion) es, con diferencia, la tecnica mas ampliamente uti-
este no se estropea con el uso. Por otra parte, puesto lizada, presente en la mayora de los sistemas actuales.
que el software debe ser determinista, esto es, varias eje-
cuciones del mismo programa deben dar los mismos re- III. Diversificacion Mediante Emulacion
sultado, la replicacion exacta del software anade poca o
ninguna mejora a la seguridad/fiabilidad del mismo. Recientemente los autores del presente artculo pro-
En [1] Avizienis et al. propusieron la tecnica de propusieron una nueva forma de generar variantes mediante el
gramacion N-version, en la cual varios equipos de desar- uso de compiladores cruzados y emuladores [4]. La tecnica
rolladores escriben de forma independiente varias aplica- consta de dos fases: 1) generacion de las variantes y 2) eje-
ciones a partir de una unica especificacion. Posterior- cucion de las mismas.
mente, se ejecutaran los programas simultaneamente y se Las variantes se generan a partir de un unico codigo
compararan las salidas. Desafortunadamente, los resulta- fuente que se compila para distintos procesadores emple-
dos no fueron todo lo buenos que caba esperar. Por una ando para ello compiladores cruzados ya existentes. Gra-
cias al amplio soporte de procesadores/targets del GCC
Financiado por la Universitat Politecnica de Valencia 2014-4186. (Gnu C compiler) y a la portabilidad de Linux, es posible
24
2
{
compilar un unico programa para muchos sistemas difer- Source code
Oline
entes sin necesidad de adaptar el codigo. Como resul-
{
tado se disponen de varios ejecutables en formato ELF Crosscompiler Crosscompiler
para distintas arquitecturas, siendo estos semanticamente
...
suite 1 suite N
equivalentes.
La segunda parte de la tecnica consiste en ejecutar efi- Variant 1 Variant N
libs ... libs
cientemente estos programas. Para ello se emplea la emu-
lacion a nivel de proceso usando Qemu (Qemu usermode).
Online
Qemu dispone de dos formas de emulacion: 1) system Syscall
translator
CPU 1
emulator ... Syscall
translator
CPU N
emulator
mode y 2) usermode. En la primera como muestra la Virtualizer Virtualizer
Fig. 1(a), se emula tanto el procesador (juego de instruc-

ciones) como el hardware asociado a una plataforma fsica Syscall interceptor Startup
(ROM, buses, perifericos,...). La emulacion usermode con- Monitor Consistency detector Policy
siste en emular el procesador y traducir las llamadas al sis-

Syscalls
tema . La Fig. 1(b) esboza esta forma de emaulacion; por Host OS
ejemplo un ejecutable ARM para Linux puede ejecutarse
en un Linux x86 puesto que los servicios ofrecidos por el Fig. 2: Arquitectura N-variant DRITAE.
sistema operativo son compatibles.
Guest las llamadas al sistema, donde se comprueba la equivalen-

applicaon cia de las ejecuciones y se aplica la poltica de seguridad.
(variant)
Se ha desarrollado una prueba de concepto en Linux,
libs
consistente en un proceso monitor que intercepta las lla-
madas al sistema de las variantes mediante los servicios
de ptrace(). La figura 2 muestra un esbozo de la arqui-
tectura N-variant DRITAE desarrollada.
Usermode Syscall CPU
virtualizer translator emulator
V. Conclusiones
Host OS Syscalls La diversificacion de software requiere de potencia adi-
(a)Platform (b)User-mode
cional de computo, bien utilizando mas procesadores o
bien ejecutando de forma concurrente cada una de las
variantes. Por suerte, la evolucion de la tecnologa de
Fig. 1: Modos de emulacion.
los microprocesadores ha jugado a favor de soluciones N-
variant (multiples cores, aumento de memoria, ...). Por
La tecnica DRITAE tiene las siguientes ventajas e in- otra parte, gracias a las nuevas funcionalidades reciente-
convenientes: mente anadidas al nucleo de Linux, es posible simplificar
+) Reaprovecha el amplio numero de arquitecturas target y optimizar substancialmente la sobrecarga del monitor.
soportadas por el GCC. Con lo que se evita la necesidad de Como resultado, podemos afirmar que es practico con-
mantener modificaciones o parches sobre compiladores1 . struir un sistema monitor N-variant capaz de bloquear
+) Se consigue una gran diversificacion entre las vari- muchos de los futuros ataques, especialmente aquellos que
antes. Existen substanciales diferencias entre ciertos se valen de la peligrosa ejecucion de codigo remota.
procesadores: direccion de la pila, estructura de los reg- Una vez se disponga de un monitor generico, sera posi-
istros, opcodes, alineamientos, tamano de palabra, etc. ble securizar cualquier aplicacion de forma completamente
+) Existente soporte fiable para la emulacion. La emu- automatica.
lacion usermode de Qemu ofrece la posibilidad de ejecutar
distintos binarios sobre un unico sistema anfitrion. Referencias
+) Efectividad alta frete a ataques complejos de detectar [1] A. Avizienis, The n-version approach to fault-tolerant soft-
ware, IEEE Transactions on Software Engineering, vol. 11, pp.
como info leaks, no solucionados como ROP, incluyendo 14911501, 1985.
ataques desconocidos tipo 0-day. [2] M. R. Lyu, Software fault tolerance. John Wiley & Sons, Inc.,
-) La sobrecarga introducida por la necesidad del emu- 1995.
[3] B. Cox, D. Evans, A. Filipi, J. Rowanhill, W. Hu, J. Davidson,
lador. J. Knight, A. Nguyen-Tuong, and J. Hiser, N-variant systems:
a secretless framework for security through diversity, in
IV. N-variant DRITAE Proceedings of the 15th conference on USENIX Security
Symposium - Volume 15, ser. USENIX-SS06. Berkeley,
Consiste en ejecutar concurrentemente varias variantes CA, USA: USENIX Association, 2006. [Online]. Available:
http://dl.acm.org/citation.cfm?id=1267336.1267344
de diferentes arquitecturas y comparar los resultados [4] B. Akhgar and H. R. Arabnia, Eds., Emerging trends in ICT
de todas ellas para encontrar discrepancias en las salidas. security. Elsevier Inc, Dic 2013, ch. 21, pp. 335357.
Los puntos de sincronizacion se establecen a la entrada de
1 Usado en la mayora de las tecnicas de diversificacion.
25
JNIC2015 Tercera sesion: Seguridad, ataques y contramedidas
1
Sistema Inmunitario Adaptativo para la Mitigacion

de Ataques de Denegacion de Servicio
Jorge Maestre Vidal, Ana Lucila Sandoval Orozco and
Luis Javier Garca Villalba, Senior Member, IEEE
Grupo de Analisis, Seguridad y Sistemas (GASS, http://gass.ucm.es)

Departamento de Ingeniera del Software e Inteligencia Artificial (DISIA)
Facultad de Informatica, Despacho 431, Universidad Complutense de Madrid (UCM)
Calle Profesor Jose Garca Santesmases, 9, Ciudad Universitaria, 28040 Madrid, Espana
E-mail: jmaestre@ucm.es, {asandoval, javiergv}@fdi.ucm.es
Resumen En este artculo se propone el uso de Sis- ofrece un compromiso entre los beneficios obtenidos al de-
temas Inmunitarios Artificiales (AIS) para la mitigacion de tectar y mitigar el ataque, frente a la mera adopcion de
ataques de Denegacion de Servicio (DoS) basados en inun-
dacion. La propuesta se basa en la construccion de redes estrategias preventivas. Esto hace que su aplicacion re-
de sensores distribuidos a lo largo del entorno protegido. sulte especialmente eficaz en el area de la seguridad de la
Estos componentes son capaces de identificar las amenazas informacion, tanto en la deteccion de malware [3] como
y reaccionar acorde al comportamiento de los mecanismos
biologicos de defensa en los seres humanos. Para ello se
en la defensa frente a ataques de denegacion de servicio
emula su reaccion ante diferentes tipos de incidencias, y [4]. Con esta motivacion, en este paper se propone una
se elabora una memoria inmunitaria. La experimentacion estrategia para la mitigacion de ataques DoS de origen
realizada demuestra su eficacia y precision al desplegarse dristribuido (DDoS) basados en inundacion. Para ello se
sobre redes de diferentes caractersticas.
introduce el despliegue de una red de sensores que integra
un AIS inspirado en los mecanismos de defensa biologicos
I. Introduccion de los seres humanos. A diferencia de propuestas simi-
lares, no se han aplicado metodos convencionales de re-
El importante aumento de los ataques de Denegacion conocimiento de patrones bioinspirados. En su lugar se
de Servicio (DoS) observado en los ultimos anos ha puesto propone una combinacion de las estrategias de detecion
sobre aviso a las principales organizaciones para la ciberse- de DDoS basadas en el estudio de variaciones en la en-
guridad. Segun informa la Agencia Europea de Seguridad tropa y la construccion de umbrales predictivos, con la
de las Redes y de la Informacion (ENISA) [1], desde el adaptacion de las reacciones inmunitarias biologicas. De
ano 2013 su capacidad de inundacion de redes ha exper- este modo es posible la aplicacion en tiempo real de con-
imentado un crecimiento promedio del 70% respecto al tramedidas, y la elaboracion de una memoria inmunitaria.
del ano 2013. La mayor parte de los ataques DoS iden- El resto del artculo esta estructurado de la siguiente
tificados se han basado en la inundacion por medio de la manera: en la seccion 2 se describen los trabajos relaciona-
inyeccion de un gran volumen de trafico, cuyo nivel de dos con la denegacion de servicio, el sistema inmunitario
congestion mas alto ha superado un 240% al observado en humano, y sistemas artificiales inmunitarios. En la seccion
2013 (agotando un ancho de banda de 325 Gbps). Esto es 3 se propone un AIS para la mitigacion de ataques DDoS.
debido principalmente a la mejora de su capacidad de re- En la seccion 4 se describe la experimentacion realizada y
flexion, la sofisticacion de las botnets a partir de las cuales se discuten sus resultados. Finalmente, en la seccion 5 se
son ejecutados, su cada vez menor dependencia de ellas, presentan las conclusiones.
la eficacia de los nuevos metodos para la evasion de sis-
temas de deteccion y el crecimiento de las estrategias de II. Trabajos relacionados
ocultacion de su rastro. En consecuencia, la comunidad
investigadora se ha volcado en el estudio de esta amenaza y A. Denegacion de Servicio
el desarrollo de contramedidas [2]. Sin embargo, y dado el En [2] se recopilan las principales tendencias de la de-
continuo crecimiento de estas intrusiones, es evidente que fensa frente amenazas de denegacion de servicio, y son
todava esta muy por detras de los atacantes. Este hecho agrupadas considerando diferentes ejes de clasificacion.
lleva a la necesidad de plantear enfoques innovadores, que Uno de los mas recurrentes es su manera de actuar. En
sean capaces de abrir futuras lneas de trabajo, abarcando base a esto, los esquemas defensivos son divididos en tres
las principales carencias de la bibliografa. categoras: deteccion, mitigacion e identificacion del ori-
De entre estas soluciones destacan los Sistemas Inmu- gen.
nitarios Artificiales (AIS). Los AIS son aproximaciones a La deteccion de los ataques de denegacion de servi-
problemas de computacion inspirados en los principios y cio a menudo desencadena el resto de tareas defensivas.
procesos, involucrados en las defensas biologicas de los or- Con este fin, en los ultimos anos ha sido propuesta una
ganismos vertebrados. Su implementacion habitualmente gran cantidad de estrategias, como modelos de Markov
26
2
[5], matrices de correlacion [6], teora del Caos [7], mode- cargados de reconocer al antgeno, y de su eliminacion. En
los predictivos y CUSUM sobre series temporales [8], vila reaccion humoral, los anticuerpos Ac detectan y elimi-
sualizacion [9] o logica difusa [10]. Uno de los metodos nan la amenaza por deglucion. Los restos de este proceso
de mayor proyeccion en la actualidad es el analisis basado son capturados por linfocitos Th , y estos estimulan a los
en la observacion de variaciones en la entropa del trafico. linfocitos Tb para generar una cantidad aun mayor de Ac
En [11] se demuestra que ofrece mejor precision que las especializada en reconocer esa amenaza. Sin embargo, en
otras tecnicas al procesar datos procedentes de redes con la respuesta celular los propios linfocitos Th detectan la
caractersticas muy heterogeneas, tal y como sucede en intrusion. Entonces atraen a citotoxinas Tc para su elim-
las redes actuales. En [12] se recopilan diferentes aproxi- inacion. Al igual que en el caso anterior, los restos es-
maciones relacionadas con la aplicacion de la entropa en timulan su generacion, especializandolas contra la nueva
este tipo de problemas y se discuten posibles metodos de amenaza. Los nuevos linfocitos podran identificar y de-
evasion. tectar directamente el antgeno.
Las propuestas para la mitigacion de los ataques de En ambas reacciones, el incremento de las medidas de-
denegacion de servicio tienen como objetivo la reduccion fensivas es temporal. Pasado un periodo de cuarentena,
total o parcial del dano causado por la intrusion. De el sistema se regula mediante la eliminacion del exceso
entre los temas de mayor candencia destacan el uso de de efectivos. Estos estan programados para desapare-
puzles para el reconocimiento de usuarios no humanos cer mediante apoptosis o muerte celular. La inmunidad
[13], trampas y senuelos [14], ampliacion del ancho de adquirida es la base de la vacunacion en los seres humanos.
banda, filtrado y protocolos de seguridad [15]. Los tres Al detectarse muestras de un antgeno es posible desarrol-
ultimos tambien pueden ser desplegados como herramien- lar contramedidas temporales y especficas para su elim-
tas de accion preventiva. Por otro lado, la identificacion inacion. De este modo la respuesta es mas rapida y mas
del origen trata de desenmascarar la ruta que ha seguido efectiva.
el ataque con el fin de llegar hasta su autor. Es una labor
que en los ultimos anos ha ganado complejidad, dado el C. AIS en la Ciberseguridad
crecimiento de los metodos de ocultacion de rastros. En La adaptacion de las defensas biologicas a la seguri-
[16] se discute este problema, se recopila una gran cantidad de la informacion habitualmente se lleva a cabo me-
dad de aproximaciones actuales, y se introduce un nuevo diante el despliegue de sistemas multiagente [18], y la em-
esquema de seguimiento uniforme. En [17] se estudia la ulacion de la actividad en las celulas inmunitarias. Estas
influencia de las caractersticas de la topologa de la red a menudo aplican cuatro tipos de algoritmos: seleccion
en la eficacia de las estrategias de marcados de paquetes. negativa, seleccion clonal, redes inmunitarias artificiales y
teora del peligro (DT).
B. El Sistema Inmunitario Humano
La seleccion negativa es el proceso mediante el cual los
Las distintas especies han desarrollado multiples mecan- agentes inmunitarios aprenden a distinguir antgenos del
ismos inmunitarios, destacando entre ellos, y por su nivel resto de celulas del propio organismo. En aproximaciones
de sofisticacion, los de las especies vertebradas. Dichos como [19] se aplica en la deteccion de anomalas. Pero tal y
sistemas constan de muchos tipos de protenas, celulas, como apuntan sus autores, es una metodologa que tiende
organos y tejidos, los cuales se relacionan en una red elab- a la generacion de altas tasas de falsos positivos, situacion
orada y dinamica. Como parte de esta respuesta inmu- que frecuentemente lleva a su complementacion mediante
nitaria mas compleja, el sistema inmunitario humano se algoritmos de seleccion clonal [20]. Estos parten de asumir
adapta con el tiempo para reconocer antgenos especficos que cada linfocito en su etapa de crecimiento debe de ser
de manera mas eficaz. A este proceso de adaptacion se capaz de reaccionar contra un antgeno concreto antes
le llama inmunidad adaptativa. A los mecanismos de de- de ser liberado en el organismo. La seleccion clonal es
fensa no adquiridos se les llama inmunidad innata, y ha- una solucion eficaz a problemas de reconocimiento y opti-
bitualmente constituyen su primera lnea de defensa. En mizacion [21]. En propuestas como [22] tambien se aplica
la inmunidad innata cada agente es capaz de reconocer a la identificacion de malware.
y eliminar diferentes tipos de antgenos. Las reacciones Las redes inmunitarias parten de las bases de la se-
inmunitarias innatas son de rechazo, y se llevan a cabo leccion clonal, extendidas al ambito de redes. Suele uti-
por barreras externas fsicas como la piel o mucosas, y de lizarse para que los distintos actores de los AIS interactuen
elementos defensivos internos, como fagocitos o celulas as- entre s. Por ejemplo, en [23] se usa para relacionar agentes
esinas naturales NK (del ingles Natural Killers). Carecen que implementan tecnicas de seleccion negativa, mientras
de memoria inmunitaria, y unicamente es efectiva contra que en [24] se combina con la teora del peligro.
patogenos conocidos a priori. La teora del peligro tiene en cuenta los ultimos avances
Por otro lado, la inmunidad adaptativa presenta especi- de la investigacion medica. En consecuencia, y al contrario
ficidad, es decir, tras aprender a rechazar un antgeno, que sus predecesores, rechaza la idea de que los organis-
el conocimiento adquirido permite reaccionar con mayor mos tengan capacidad de distinguir entre celulas propias
contundencia contra el. Las celulas mas importantes de y antgenos. En su lugar postula que la activacion de
este proceso son los linfocitos y las celulas presentadoras. las reacciones inmunitarias tiene su origen en senales de
Existe dos tipos de reacciones inmunitarias adaptativas: alerta procedentes de tejidos en contacto con la amenaza.
humorales y celulares. En ambas participan agentes en- Se trata de uno de los algoritmos mas frecuentes en la bib-
27
3
liografa. Las bases para su adaptacion a la deteccion de nuevos ataques y participan en la elaboracion de la memo-
intrusiones son propuestas en [25]. En [26] se aplica en la ria inmunitaria. Finalmente los DA tienen la capacidad de
deteccion de intrusiones mediante el estudio de llamadas detectar y mitigar ataques previamente identificados por
al sistema. los DH . Sus comunicaciones internas se llevan a cabo en
No todos los AIS se basan en procesos concretos de los un canal diferente del protegido, con el fin de fortalecer al
esquemas inmunitarios. Algunas aproximaciones imitan sistema de ser inutilizado y reducir su impacto en la cal-
las caractersticas de las reacciones inmunitarias innatas idad de servicio de la red. El AIS actua en las siguientes
y adaptativas de los seres vertebrados. En [27] esto se etapas:
aplica a la deteccion de anomalas en el trafico de redes. 1. Inicialmente los DH analizan el trafico que fluye a
Su respuesta inmunitaria adaptativa implica la clonacion traves de ellos. Los DA permanecen en inactividad
de un mayor numero de agentes anticuerpos en las regiones hasta ser activados. Cuando los DH identifican ame-
amenazadas. En [28] los anticuerpos son agentes moviles nazas procedentes de un nodo intermedio, bloquean su
que recorren una red en busca de indicios de dano. conexion (respuesta innata). A continuacion envan
senales a los DA de las proximidades para proceder a
III. AIS para la defensa frente a DDoS su activacion frente a esa amenaza (respuesta adapta-
A. Caractersticas del Diseno tiva).
2. Cuando los DA son activados, analizan el trafico proce-
Las principales caractersticas del sistema inmunitario dente del atacante. A diferencia de DH , el nivel de
biologico han sido asumidas, y adaptadas a la defensa restriccion de su umbral de decision es incrementado
frente a DDoS de la siguiente manera: proporcionalmente a las caractersticas del ataque.
Respuesta innata y adquirida. la propuesta tiene ca- Tambien bloquean las amenazas identificadas. De este
pacidad de reaccion frente a ataques DDoS no recono- modo, si el ataque sigue rutas alternativas tambien es
cidos con anterioridad. Una vez detectados, fortalece mitigado.
las medidas defensivas contra futuras replicas. 3. Cuando diferentes DH emiten senales de activacion
Especificidad. En la naturaleza cada celula inmuni- para contrarrestar un ataque, los DA tienen en cuenta
taria reacciona contra un unico tipo de antgeno. En la mas restrictiva. Los DA se desactivan unicamente
esta aproximacion, la respuesta innata es comun ante cuando ha pasado un periodo de tiempo de cuarentena,
cualquier tipo de amenaza detectada. Sin embargo, la o no han recibido senales de activacion. Los DH per-
reaccion inmunitaria unicamente afecta a la deteccion manecen continuamente en estado de monitorizacion.
del ataque de inundacion que la ha desencadenado. En Fig. 1 se muestra un ejemplo del comportamiento
Clonalidad. Al detectarse un antgeno desconocido, la
del AIS frente a un ataque DDoS. Este parte de la
respuesta adaptativa biologica clona las celulas que han situacion mostrada en Fig. 1(a), donde S es el nodo ori-
sido capaces de reconocerlo. De este modo aumentan las gen, T el nodo destino y Ni el nodo i intermedio. En
posibilidades de identificar sus replicas. En esta aprox- el caso de que el sensor DH no sea capaz de reconocer
imacion sucede lo mismo al detectarse ataques DDoS la amenaza, se propagara a lo largo de la red protegida,
desconocidos. debido a sus polticas de balanceo de carga (Fig. 1(b)).
Memoria inmunitaria. Tanto en la naturaleza como en
Pero si el ataque es detectado con exito, DH reacciona
la propuesta, al detectarse una amenaza las contrame- de manera innata, descartando el trafico procedente del
didas adoptadas son conservadas durante un periodo origen, y alertando a los DA vecinos (Fig. 1(c)). Estos
de tiempo. Esto permite reaccionar con mayor eficacia activaran su respuesta adaptativa cada vez que el ataque
ante futuras replicas. intente trazar caminos alternativos (Fig. 1(d)), mitigando
Autorregulacion. Tras la respuesta adaptativa, el sis-
completamente la amenaza.
tema inmunitario humano es regulado por la apoptosis
A pesar de su sencillez, este esquema presenta una se-
de gran parte las nuevas celulas. En esta propuesta, las
rie de ventajas muy efectivas. En primer lugar, permite
nuevas medidas defensivas tambien son reducidas tras
aumentar las medidas defensivas al reconocerse una ame-
pasar un determinado periodo de tiempo sin detectarse
naza. Esto hace que su sobrecarga sea proporcional al
replicas de la misma amenaza.
nivel de riesgo de la red. Ademas, la propiedad de especi-
Autonoma. En ambos casos las entidades del esquema
ficidad de los sistemas biologicos hace que solo se apliquen
defensivo operan sin un control centralizado.
en conexiones concretas, sin afectar al analisis del resto del
Diversidad. El conjunto de agentes inmunitarios debe
trafico. Por otro lado, la presencia de dos tipos de agentes
de ser capaz de detectar cualquier tipo de antgeno.
permite adaptar el despliegue defensivo al entorno de mon-
Por lo tanto, el diseno debe de ser capaz de identificar
itorizacion. Los sensores con mayor capacidad de computo
cualquier tipo de DDoS basada en inundacion.
actuaran como DH y el resto como DA . Notese que un
mismo nodo podra desempenar ambas funciones. Final-
B. Comportamiento del Sistema
mente, el nivel de restriccion del sistema se autorregula
Se han considerado dos tipos de agentes: detectores H por medio de la desactivacion de los sensores pasado un
o DH y detectores A o DA . Los DH se involucran tanto tiempo de cuarentena. Mientras la activacion frente a una
en la respuesta inmunitaria innata como en la adaptativa. amenaza concreta pertenezca activa, esta formara parte
En consecuencia permiten la deteccion y el bloqueo de de la memoria inmunitaria.
28
4
S S
St = (Ht Bt ) + (1 )Btn (4)
donde Bt es la estimacion base en t, Tt es la estimacion de

N3 N3 la tendencia y St la estimacion del factor estacional. Los
parametros , y estan comprendidos en el intervalo
DA DH DA DA DH DA
0 < , , < 1, y permiten ajustar el alisado. El valor
estimado corresponde con Ht+1 = Bt + Tt + St , ya que se
ha aplicado su version aditiva. El intervalo de prediccion
T DA N5 T DA N5
se calcula por el metodo habitual en este tipo de sistemas,
(a)Ataque original. (b)Ataque depues de bal- y es limitado por los siguientes umbrales:
anceo.
p
U Sup(t) = p0 + K var(Et ) (5)
S S
p
U inf (t) = p0 K var(Et ) (6)
N3 N3
donde Et es el error de prediccion en t y p0 es la
prediccion en el la ultima observacion realizada. El er-
DA DH DA DA DH DA
ror de prediccion viene dado por la diferencia entre la
prediccion y la observacion en t. La varianza es calculada
T DA N5 T DA N5 a partir del error de prediccion en las ultimas t observa-
ciones realizadas.
(c)Intercepcion del ataque. (d)Respuesta adaptativa.
Asimismo, la expresion incluye un parametro de ajuste
Fig. 1 K, el cual permite regular el nivel de restriccion del sis-
Ejemplo de comportamiento del AIS ante un ataque DDoS. tema. En los agentes DH el parametro K toma su valor
por defecto, donde Z 2 . Esto es debido a que son dos in-
tervalos con un margen del tipo 100(1 ). Sin embargo,
como parte de la respuesta inmunitaria adaptativa, los
C. Deteccion de ataques basados en inundacion agentes DA adquieren la capacidad de aumentar su nivel
de restriccion en funcion de la actividad detectada en DH .
El analisis del volumen de trafico es llevado a cabo a par-
En este caso, el parametro K es definido por la siguiente
tir de las variaciones en su entropa,
1
y a las cotas estableci-
1
expresion:
das mediante umbrales de prediccion. La entropa es una
medida de variacion para variables cualitativas, definida
V olactual
como el grado de impredicibilidad de su comportamiento. K(t) = Kprev (1 ) (7)
V olprevio
Sea la variable X cualitativa con el conjunto de valores
finito x1 , x2 , , xn de probabilidades p1 , p2 , , pn , la Donde Kprev es el parametro K anterior, V olprevio el
entropa de X se define como: volumen de trafico auditado antes de detectarse el ataque
n n
y V olactual es el volumen de trafico auditado durante el
X 1 X
H(X) = pi loga = pi loga pi (1) ataque.
i=1
pi i=1
IV. Experimentacion y resultados
Dado que se satisface loga b logb x = loga x, entonces
1
H(x) = 0 cuando la variable es determinstica. Para la
1 Para evaluar la propuesta se ha desarrollado un simu-
deteccion de ataques de inundacion X es definida como lador capaz de generar diferentes redes y distribuciones
el volumen de trafico entre los nodos A y B, dirigido al de sensores DH y DA aleatoriamente, en base a los sigu-
puerto C. La probabilidad P implica que cada pi repre- ientes parametros: numero de nodos, volumen de trafico
senta el porcentaje de aparicion de paquetes con un origen, legtimo, factor de ramificacion, y factor cclico. Los dos
destino y puerto concretos, en el trafico auditado. ultimos determinan la cantidad de conexiones asociadas a
Las reacciones inmunitarias solo deben producirse cada nodo y el numero de ciclos de la red cuando se repre-
cuando se observan fluctuaciones suficientemente representa como un grafo de dimensiones finitas. Por otro lado
sentativas. Esto es decidido mediante la estimacion de la se ha construido un generador de ataques de inundacion.
entropa en el proximo periodo de observacion, teniendo en Dada una red generada con la herramienta previamente
cuenta la serie de entropas observada en los ultimos t in- descrita, el simulador elegira arbitrariamente el nodo de
stantes de tiempo. Por motivos de eficiencia, la prediccion origen, el nodo vctima y un puerto. A continuacion inyec-
se ha llevado a cabo mediante el modelo predictivo prop- tara un volumen de trafico arbitrario, teniendo en cuenta
uesto por Holt-Winters [29], que corresponde con la sigu- las indicaciones de [30].
iente ecuacion recursiva: Se han generado 220 redes aleatoriamente, y en cada
una de ellas se ha estudiado el comportamiento de ataques
Bt = (Hi StN ) + (1 )(Bt1 + Tt1 ) (2) de denegacion de servicio de diferentes magnitudes, dirigi-
dos entre cada posible par de nodos de origen y destino.
Tt = (Bt Bt1 ) + (1 )Tt1 (3) A continuacion se discuten los resultados obtenidos.
29
5
1 1
TPR H
0.8 0.8 TPR A
FPR H
FPR A
0.6 0.6
TPR H
0.4 0.4
TPR A
FPR H
0.2 FPR A 0.2
0 0
0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 0.9 1 0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 0.9 1
Fig. 2 Fig. 4
Eficacia en funcion la localizacion de los agentes. Eficacia en funcion la congestion de la red.
1 1
TPR H
0.8 TPR A 0.8
0.6 0.6
0.4 0.4
0.2 0.2 Resp. Innata

Resp. Adaptativa
0 0
0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 0.9 1 0 10 20 30 40 50 60 70 80 90 100
Fig. 3 Fig. 5
Eficacia en funcion la potencia del ataque. Eficacia de la propuesta en funcion la longitud del ataque
A. Localizacion de sensores congestion total. Esta ha sido ponderada en funcion del

porcentaje del ancho de banda de la vctima que es ca-
En Fig. 2 se muestra la importancia de la ubicacion paz de congestionar, independientemente del volumen de
de los sensores DH y DA activados a la hora de recono- trafico legtimo. Cuando el ataque es de potencia mayor
cer con exito la amenaza. El eje Y indican la tasa de a 0.5, en ambos casos el TPR es practicamente 1. Sin
acierto TPR(True Positive Rare) o la tasa de falsos pos- embargo en el resto de casos se observa una importante
itivos FPR(False Positive Rate), y el eje Y el porcentaje mejora al iniciarse la reaccion adaptativa. Su incremento
del recorrido en que se ubica el detector. Cuando los DH mas alto es del 26.5% cuando la potencia vara entre el 0.3
reconocen las amenazas por primera vez, el TPR promedio y el 0.4.
es de 0.85 y el FPR es 0.072. No obstante, se observa como
cerca de los extremos la tasa de acierto se aproxima al C. Congestion de la red
100%, mientras que en los puntos equidistantes disminuye En Fig. 4 se muestra la capacidad de deteccion en
hasta el 70%. Esto es debido a que el ataque tiende a dis- funcion del volumen de trafico legtimo que circula por
tribuirse, concentrandose en un menor numero de canales las redes. Cuando hay poco trafico, la estrategia prop-
al llegar a los extremos. Al activarse la inmunidad adap- uesta resulta muy precisa. Los ataques resultan mucho
tativa, el TPR promedio aumenta un 7%, siendo igual a mas visibles. Sin embargo cuando la congestion es alta,
0.92. La mayor mejora se observa en las distancias inter- especialmente a partir del 0.7, la tasa de acierto dismin-
medias, donde su peor valor es de 0.82, mejorando un 12%. uye, y la tasa de falsos positivos aumenta. La activacion
La implementacion de inmunidad adaptativa apenas tiene de la reaccion adaptativa suaviza este problema. Consigue
impacto en la FPR. Su valor promedio en DH es de 0.071 incrementar hasta un 13.7% el TPR en el caso de mayor
y asciende a 0.077 en DA , es decir, solo empeora un 0.6%. desnivel (congestion entre 0.6 y 0.7) y disminuir el FPR
Ademas depende muy poco de la ubicacion del sensor. hasta un 11.4% (congestion entre 0.9 y 1).
B. Capacidad de inundacion D. Longitud del ataque
Otro aspecto a considerar es la repercusion de las car- Finalmente queda por determinar la capacidad de mit-
actersticas de la red y los ataques. En Fig. 3 se ob- igacion de los ataques. En Fig. 5 se observa la tasa de
serva la precision del sistema en funcion de la potencia ataques iniciados que no han alcanzado su objetivo, en
del ataque, siendo 0 el estado de no congestion, y 1 el de funcion del numero de conexiones entre nodos que recor-
30
6
ren. Cuando actua unicamente la respuesta innata, se ha [10] P.A.R. Kumar, S. Selvakumar, Detection of distributed denial
bloqueado el 81.4% de los ataques. Sin embargo, la re- of service attacks using an ensemble of adaptive and hybrid
neuro-fuzzy systems, Computer Communications, vol. 36, no.
spuesta adaptativa ha sido capaz de evitar el 95.5% de 3, pp. 303-319, 2013.
ellos, es decir, ha mejorado su eficacia un 14.1%. De la [11] M.H. Bhuyan, D.K. Bhattacharyya, J.K. Kalita, An empirical
grafica tambien se deduce que a mayor numero de conex- evaluation of information metrics for low-rate and high-rate
DDoS attack detection, Pattern Recognition Letters, vol. 51,
iones, mayor es la probabilidad de exito del ataque. no. 1, pp. 1-7, 2014.
[12] I. Ozcelik, R.R. Brooks, Deceiving entropy based DoS detec-
V. Conclusiones tion, Computers & Security, vol. 48, no. 1, pp. 234-245, 2015.
[13] B.B. Zhu, J. Yan, G. Bao, M. Yang, N. Xu, Captcha as Graph-
En este artculo se ha propuesto una nueva estrategia de ical Passwords-A New Security Primitive Based on Hard AI
defensa frente a ataques de denegacion de servicio basa- Problems, IEEE Transactions on Information Forensics and
Security, vol. 19, no. 6, pp. 891-904, 2014.
dos en inundacion. Para ello se ha emulado el compor- [14] K.E. Heckman, M.J. Walsh, F.J. Stech, T.A. OBoyle, S.R.
tamiento de las reacciones inmunitarias de los organismos DiCato, A.F. Herber, Active cyber defense with denial and
vertebrados, por medio del despliegue de un sistema inmu- deception: A cyber-wargame experiment, Computers & Secu-
rity, vol. 37, pp. 72-77, 2013.
nitario artificial. Cada uno de sus agentes ha combinado [15] S. Khanna, S.S. Venkatesh, O. Fatemieh, F. Khan, C.A.
sus funciones basicas, con estrategias de procesamiento de Gunter, Adaptive selective verification: an efficient adaptive
informacion propias de la deteccion y mitigacion de este countermeasure to thwart DoS attacks, IEEE/ACM Transac-
tions on Netwowking, vol. 20, no. 3, pp. 715-728, 2012.
tipo de amenazas; en concreto, mediante el estudio de la [16] N.M. Alenezi, M.J. Reed, Uniform DoS traceback, Comput-
entropa del trafico de la red, y la deteccion de anomalas ers & Security, vol. 45, no. 1, pp. 17-26, 2014.
capaces de sobrepasar sus umbrales de prediccion. [17] A.R. Kiremire, M.R. Brust, V.V. Phoha, Using network motifs
to investigate the influence of network topology on PPM-based
El sistema ha sido evaluado en un entorno de ex- IP traceback schemes, Computer Networks, vol. 72, no. 1, pp.
perimentacion simulado, que ha implicado diferentes 14-32, 2014.
topologas de red, congestion y ataques. Los resulta- [18] C.M Ou, Host-based intrusion detection systems adapted from
agent-based artificial immune systems, Neurocomputing, vol.
dos han demostrado una importante mejora al considerar 88, no. 1, pp. 78-86, 2012.
mecanismos de reaccion adaptativos, frente a considerar [19] P. Mostardinha, B.F. Faria , A. Zuquete, F.V. Abreu, A
Negative Selection Approach to Intrusion Detection, in Proc.
solo respuestas innatas (de manera similar a las propuestas 11th International Conference on Artificial Immune Systems
convencionales). Las lneas de investigacion futuras estu- (ICARIS), Taormina, Italy, 2012. Lecture Notes in Computer
diaran su comportamiento en entornos reales, y aplicaran Science, vol. 7597, pp. 178-190, 2012.
[20] R. Ligeiro, Monitoring applications: An immune inspired al-
diferentes estrategias de modelado del trafico, lo que per- gorithm for software-fault detection, Applied Soft Computing,
mitira sustituir el parametro de ajuste de la restrictividad vol. 24, pp. 1095-1104, 2014.
de los sensores DA , por metodos mas precisos. [21] L.N. Castro, F.J.V. Zuben, Learning and Optimization Using
the Clonal Selection Principle, IEEE Transactions on Evolu-
tionary Computation, vol. 6, no. 3, pp. 239-251, 2002.
Agradecimientos [22] K.A. Sheshtawi, H.M. Abdul-Kader, N.A. Ismail, Artificial
Los autores agradecen el apoyo brindado por el Pro- Immune Clonal Selection Classification Algorithms for Classify-
ing Malware and Benign Processes Using API Call Sequences,
grama de Financiacion de Grupos de Investigacion UCM International Journal of Computer Science and Network Secu-
validados de la Universidad Complutense de Madrid - rity, vol. 10, no. 4, pp. 31-39, 2010.
Banco Santander. [23] N.A. Seresht, R. Azmi, MAIS-IDS: A distributed intrusion
detection system using multi-agent AIS approach, Engineer-
ing Applications of Artificial Intelligence, vol. 25, pp. 286-298,
Referencias 2014.
[1] L. Marinos, A. Sfakianakis, ENISA (2015), Threat Landscape [24] H. Yang, J. Guo, F. Deng, Collaborative RFID intrusion de-
2014. Available: https://www.enisa.europa.eu/ tection with an artificial immune system, Journal of Intelli-
[2] S.T. Zargar, J. Joshi, D. Tipper, A Survey of Defense Mecha- gent Information Systems, vol. 36, no. 1, pp. 1-26, 2011.
nisms Against Distributed Denial of Service (DDoS) Flooding [25] U. Aickelin, P. Bentley, S. Cayzer, J. Kim., J. McLeod, Danger
Attacks, IEEE Communications Surveys & Tutorials, vol. 15, Theory: The Link between AIS and IDS, in Proc. 2nd Inter-
no. 4, pp. 2046-2069, 2013. national Conference on Artificial Immune Systems (ICARIS),
[3] C. Zheng, D.C. Sicker, A survey on biologically inspired algo- Edinburgh, UK, 2013. Lecture Notes in Computer Science, vol.
rithms for computer networking, IEEE Communications Sur- 2787, pp. 147-155, 2003.
veys & Tutorials, vol. 15, no. 3, pp. 1132-1191, 2013. [26] R. Azmi, B. Pishgoo, SHADuDT:secure hypervisor-based
[4] N.B.I. Al-Dabagh, I.A. Ali, Design and implementation of ar- anomaly detection based on danger theory, Computers & Se-
tificial immune system for detecting flooding attacks, in Pro- curity, vol. 39, part B, pp. 268-288, 2013.
ceedings of the International Conference on High Performance [27] A. Boukerche, R.B. Machado, K.R.L. Juca, J.B.M. Sobral,
Computing and Simulation (HPCS), Istanbul, Turkey, 2011, M.S.M.A. Notare, An agent based and biological inspired real-
pp. 381-390. time intrusion detection and security model for computer net-
[5] S. Shin, S. Lee, H. Kim, S. Kim, Advanced probabilistic ap- work operations, International Journal of Computer Commu-
proach for network intrusion forecasting and detection, Expert nications, vol. 30, pp. 2649-2660, 2007.
Systems with Applications, vol. 40, no. 1, pp. 315-322, 2013. [28] B.Chen, Agent-based artificial immune system approach for
[6] S.M. Lee, D.S. Kim, J.H. Lee, J.S. Park, Detection of DDoS adaptive damage detection in monitoring networks, Journal
attacks using optimized traffic matrix, Computers & Mathe- of Network and Computer Applications, vol. 33, no. 6, pp. 633-
matics with Applications, vol. 63, no. 2, pp. 501-510, 2012. 645, 2010.
[7] Y. Chen, X. Ma, X. Wu, A Rank Correlation Based Detection [29] S. Gelper, R. Fried, C. Croux, Robust forecasting with expo-
against Distributed Reflection DoS Attacks, IEEE Communi- nential and Holt-Winters smoothing, Journal of Forecasting,
cations Letters, vol. 17, no. 5, pp. 1052-1054, 2013. vol. 29, no. 3, pp. 285-300, 2010.
[8] C. Callegari, S. Giordano, M. Pagano, T. Pepe, WAVE- [30] S. Bhatia, D. Schmidt, G. Mohay, A. Tickle, A framework
CUSUM: improving cusum performance in network anomaly for generating realistic traffic for Distributed Denial-of-Service
detection by means of wavelet analysis, Computers & Secu- attacks and Flash Events, Computers & Security, vol. 40, no.
rity, vol. 31, no. 5, pp. 727-735, 2012. 1, pp. 95-107, 2013.
[9] Y. Cai, R.M. Franco, M. Garca-Herranz, Visual latency-based
interactive visualization for digital forensics, Journal of Com-
putational Science, vol. 1, no. 2, pp. 115-120, 2010.
31
La utilizacin de herramientas de monitorizacin de

usuarios como base para el perfilado de identidades
en fuentes abiertas: OSRFramework
Yaiza Rubio y Flix Brezo
yaiza_rv@hotmail.com y felixbrezo@gmail.com
Resumen-Las herramientas para la investigacin sobre perfiles orientadas a la identificacin de usuarios. Su funcionalidad
presentes en la red surgen como resultado de la utilizacin masiva principal consiste en la posibilidad de realizar bsquedas de
de la red por parte de los usuarios. Partiendo de la premisa de que usuarios en ms de 200 plataformas diferentes.
gran parte de los usuarios comparten alias en diferentes
plataformas, OSRFramework es una herramienta de software libre Palabras clave- fuentes abiertas, herramientas de investigacin,
que integra diferentes utilidades de investigacin en fuentes abiertas perfilado de usuarios, redes sociales
I. INTRODUCCIN obtencin de atributos y caractersticas asociados a un mismo

La proliferacin de herramientas destinadas a la perfil que puedan abrir nuevas lneas de investigacin.
monitorizacin de la actividad en internet es el resultado de la En este contexto, el presente documento est estructurado
aparicin de nuevas formas de utilizar la red en sociedades que como sigue. En la Seccin II, se identificarn las necesidades
se encuentran cada vez ms interconectadas. Para los grupos de investigacin que motivan la creacin de un framework
que operan en la red la eleccin de las herramientas es capaz de recabar informacin de diferentes plataformas. En la
fundamental de cara a contar con un mayor control sobre su Seccin III, se recoge el proceso de configuracin e instalacin
informacin con una capa adicional de anonimato a un coste de la herramienta. En la Seccin IV, se definir un mtodo de
razonable. En este sentido, las organizaciones que centran sus trabajo utilizando las diferentes funcionalidades de dicha
esfuerzos en realizar acciones de presin harn uso de la web herramienta y definiendo el proceso de integracin del
de superficie (redes sociales, blogs, plataformas de recogida de framework con una herramienta de investigacin como
firmas, etc.) para garantizar la difusin de su mensaje hacia un Maltego. En la Seccin V, se propondrn casos prcticos
pblico ms amplio [1]. concretos de investigacin en los que se explotan las
Tanto las compaas tecnolgicas como las fuerzas y cuerpos posibilidades que ofrecen las herramientas incluidas. En la
de seguridad han identificado un mercado que demanda de Seccin VI se definen lneas de trabajo futuras que
forma reiterada mecanismos que faciliten tanto la deteccin de complementarn la evolucin de la herramienta. Por ltimo, en
posibles actividades fraudulentas como ataques a activos la Seccin VII se detallarn las conclusiones a extraer de este
fsicos o tecnolgicos corporativos. En este sentido, partiendo trabajo relativas a la utilizacin indiscriminada de este tipo de
de la necesidad de asociar la realizacin de una accin en herramientas y a cmo la informacin personal que los
internet a una persona concreta para dirimir su atribucin, por usuarios exponen en la red es valiosa en s misma para la
ejemplo, en delitos asociados al blanqueo de capitales adecuacin de ataques contra objetivos concretos como los
cometidos a travs de internet [2], se hace necesario contar con propios usuarios.
herramientas que permitan identificar nuevos usuarios en otras II. CONSIDERACIONES GENERALES
plataformas potencialmente afines teniendo en cuenta la forma
La investigacin sobre cualquier evento que ocurra en
en que se organizan estas y el uso que se hace de ellas.
internet obliga a tener una completa comprensin de cmo se
Pese a ello, no es corriente encontrar soluciones que
encuentra estructurada. A continuacin, se enumeran una serie
permitan la identificacin de perfiles en mltiples plataformas
de conceptos generales que servirn para comprender la
o la reduccin de la complejidad de la identificacin de
estructura de la herramienta propuesta de cara a investigar
potenciales usuarios de inters cuando, por un lado, se parte de
perfiles en la red.
una situacin en la que se desconocen los usuarios objeto de
estudio pero, por otro, s se cuenta con cierta informacin sobre A. Naturaleza de la red
ellos. Por tanto, el objeto de este artculo es la presentacin de
Atendiendo a la naturaleza de la conectividad fsica, se
una herramienta que, siguiendo una metodologa de
puede hablar de la existencia de dos grandes tipos de redes: de
investigacin en la red, sea capaz de identificar usuarios a
inters a la hora de monitorizar:
partir de unos requisitos mnimos de informacin para la
32
Internet, como conjunto de redes de comunicacin B. Aproximaciones para identificar usuarios

interconectadas que utilizan la familia de protocolos
Al margen de la identificacin de usuarios a partir de los
TCP/IP, lo cual hace que las redes fsicas heterogneas
contenidos publicados, para consultar los usuarios registrados
que la componen funcionen como una red nica.
en una plataforma existen dos aproximaciones: una de carcter
Dark internet. Dentro como categora dentro de la que proactiva aprovechando las posibilidades que se ofrecen en
se agrupan todas aquellas redes fsicas separadas del muchas de ellas para llevar a cabo una enumeracin de
interior y que hacen uso de infraestructuras fsicas al usuarios (o user enumeration) de la plataforma en cuestin y
margen del internet convencional y que, por tanto, otra de carcter reactiva, tratando de identificar si un
requieren de un acceso fsico separado del anterior. determinado perfil existe o no en la plataforma (la
En cualquier caso, en este trabajo se va a hacer referencia a implementada en el framework bajo el nombre de usufy.py).
diversas fuentes de internet que habitualmente se deben Dados los requerimientos concretos de la monitorizacin
diferenciar entre internet de superficie (o surface) e internet que se plantean en la red, es necesario definir mtodos
profunda (o deep). adecuados para su monitorizacin. A continuacin, se recogen
Surface. Se considera surface a aquel contenido conceptos generales a considerar en la investigacin de
indexado por los buscadores convencionales, por lo perfiles, las dos aproximaciones diferentes consideradas en el
que se encuentran en esta categora las redes sociales marco de este trabajo y los tipos de plataformas ya
(exceptuando los perfiles privados), los foros identificados.
(exceptuando aquellas partes que establezcan A la hora de identificar un usuario en una plataforma existen
mecanismos de proteccin como usuario y dos aproximaciones: una de carcter proactiva aprovechando la
contrasea) y las plataformas de pastes (exceptuando posibilidad que ofrecen para llevar a cabo una enumeracin de
aquellos que se hayan borrado previamente a la usuarios (o user enumeration) de la plataforma y otra de
indexacin por parte de los buscadores). carcter reactiva, tratando de identificar si un determinado
perfil existe o no en la plataforma (en adelante, usufy).
Deep. Es aquel contenido al que no se puede acceder a
travs de un buscador convencional. La ausencia de La enumeracin de usuarios se puede realizar para
contenidos indexados en dichos buscadores puede aquellas plataformas que permiten la consulta de sus
venir motivada por la necesidad de autenticar el perfiles a partir de ndices consecutivos. El
acceso mediante un usuario y contrasea o por el uso procedimiento, una vez identificada la direccin URL
de una tecnologa adicional entre otras razones. En en la que se puede llevar a cabo dicha operacin,
esta ltima categora, se puede diferenciar entre redes consistir en incrementar de forma consecutiva dicho
annimas y redes no annimas. ndice. En este framework se recoge un script a modo
de prueba de concepto que permite la realizacin de
Las redes annimas se utilizan para compartir informacin y
estas operaciones una vez identificada la direccin
contenidos digitales. En ellas se toman medidas para preservar
URL de los perfiles1. En cualquier caso, para
el anonimato de las identidades de quienes intercambian
optimizar futuras consultas contra el material
informacin. Este tipo de redes pueden dividirse en redes
recuperado, conforme se vaya incrementando el
(peer-to-peer) P2P, aquellas en las que las relaciones entre
tamao de las bases de datos, ms necesario ser
todos sus miembros son de igual a igual, y no P2P, que cuentan
contar con una infraestructura de indexacin de
con distintos tipos de nodos en funcin de su funcionalidad. En
contenidos como Solr o ElasticSearch.
este sentido, la monitorizacin de estos contenidos requiere del
desarrollo de interfaces que permitan su consulta, por ejemplo, Para identificar si una plataforma tiene o no usufy es
a travs de Tor. necesario identificar la URL de la plataforma en la
Por su parte, las redes P2P se pueden dividir en friend-to- que se pueden realizar dichas consultas por nombre de
friend (F2F), aquellas redes P2P annimas en donde los nodos usuario. El procedimiento seguido es el siguiente:
tienen la capacidad de conectarse nicamente con nodos partiendo de una URL genrica de la plataforma
amigos conocidos y, por tanto, limitando la exposicin de los (http://twitter.com/<usufy>) se sustituye la parte
mismos y las redes no F2F. Las primeras presentan grandes marcada por el nombre del perfil a identificar (por
inconvenientes para su monitorizacin, dada la necesidad de ejemplo, i3visio) generando como salida la direccin
que ambos nodos consensuen la comunicacin y requiriendo URL http://twitter.com/i3visio.
contacto directo previo entre sus participantes. Desde el punto Seguidamente, se consulta si se ha producido un error
de vista de la monitorizacin, esta circunstancia obligara al en la resolucin de la plataforma, buscando dicho
despliegue de capacidades de Human Intelligence (HUMINT) mensaje de error que habitualmente suele ser un aviso
en el mundo virtual que permitan formalizar estos contactos. 1
Para ejecutar la prueba de concepto utilizando algunas de las plataformas
ya identificadas por los autores en el fichero
osrframework/util/enumeration_config.txt. Por ejemplo, para ejecutarlo sobre
la plataforma de stackoverflow se puede realizar: python enumeration.py p
stackoverflow.
33
de que el perfil no existe o un 404. La ventaja que algunos sistemas puede ser necesario, bien incluir entre las
ofrece esta aproximacin es que, como se ver ms variables de entorno la ruta a un intrprete de Python 2.7, bien
adelante, la creacin de mdulos que consulten en establecer un enlace simblico a la ubicacin real de la
nuevas plataformas no es compleja. instalacin de Python 2.7 o bien ejecutar dichos comandos
Adems, para agilizar el trmite, en usufy.py se cuenta como python2.7 en lugar de solamente como python. A
con una opcin2 que, a partir de un dominio y en base efectos de este documento, se asumir en adelante una
a las frmulas ms empleadas en otras plataformas, se instalacin de Python que reconozca por defecto la versin 2.7.
comprueba si existe o no la posibilidad de generar una Tras descomprimir la carpeta y realizar la instalacin, se
URL vlida a partir de un alias. puede comprobar que esta se ha hecho correctamente
ejecutando:
En ambos casos, se podr procesar cada perfil para la
extraccin de atributos concretos de la pgina, incluso en python c import osrframework
plataformas y otros foros que no cuentan con API de consulta, Si no aparece ningn error, las aplicaciones y libreras
de los que se podr extraer con expresiones regulares algunos contenidas en el framework podrn ser utilizadas tanto desde
atributos de cada perfil. Como se ha visto, cada aproximacin otros programas como dentro de la carpeta osrframework. La
tiene sus ventajas e inconvenientes tal y como se recoge en la estructura de dicha carpeta es la siguiente:
Tabla I. patterns. Directorio que recoge los mdulos de
Tabla I. Ventajas e inconvenientes de las dos aproximaciones para investigar
expresiones regulares utilizados por la aplicacin de
perfiles de usuario en la red. extraccin de entidades entify.py.
Ventajas Inconvenientes thirdparties. Directorio que recoge las llamadas a
- Bsqueda avanzada sobre
- Importante capacidad de aplicaciones de terceros. En dicha carpeta se recogen
User miles de perfiles
almacenamiento tambin scripts que pueden ejecutarse de forma
enumeration - Seguimiento de la actividad
- Tiempo requerido para independiente y que realizan consultas sobre dichas
del perfil hacia atrs
realizar un ciclo completo de API.
monitorizacin
transforms. Directorio en el que se definen las
- Cliente ligero
- Sin posibilidad de hacer transformadas de Maltego y los ficheros de
- Almacenaje requerido
Usufy seguimiento previo a la configuracin necesarios para su ejecucin.
limitado
- Resultados inmediatos
investigacin utils. Directorio en la que se encuentran distintas
mdulos necesarios para el resto de aplicaciones.
III. INSTALACIN Y CONFIGURACIN DE LA HERRAMIENTA wrappers. Directorio en la que se encuentran las clases
Para poder utilizar la herramienta es necesario contar con la en las que se definen las operaciones de bsqueda en
versin de Python 2.7 instalada en el equipo 3. Opcionalmente, las plataformas.
si se quiere contar con la interfaz grfica de Maltego ser entify.py. Aplicacin para identificar entidades con
necesario contar con dicha plataforma. La versin Community expresiones regulares en texto y archivos.
se puede descargar desde la pgina de Paterva [3]. El resto de mailfy.py. Aplicacin para verificar la existencia o no
dependencias sern gestionadas por el propio script de de un correo electrnico.
instalacin.
phonefy.py. Aplicacin para identificar la vinculacin
A. Instalacin de la aplicacin de un nmero de telfono con llamadas de spam
telefnico.
La herramienta puede descargarse desde la pgina del
proyecto en Github [4]. Tras descomprimir el fichero, la searchfy.py. Aplicacin para realizar bsquedas en
instalacin tanto en sistemas Windows como en Linux requiere distintas plataformas, tanto de la web de superficie
la ejecucin de los siguientes comandos desde la carpeta raz como de redes annimas.
del proyecto: usufy.py. Aplicacin para la identificacin de la
python setup.py build existencia de usuarios.
python setup.py install B. Creacin de nuevos wrappers
Se asumir en todos los casos de este documento que el El proceso de creacin de nuevos wrappers para la
comando python asume un intrprete de Python 2.7. En herramienta de usufy.py se enumera a continuacin:
2
Paso 1. Identificar la direccin URL genrica de la
Ejemplo de ejecucin: python usufy.py fuzz ejemplo.txt. En donde
ejemplo.txt ser un archivo en el que la primera columna (separadas entre s
plataforma que se quiere aadir y si requiere de
por un tabulador) de cada fila ser el dominio a analizar y la segunda el alias de credenciales o no para realizar la consulta.
un usuario que se sabe que existe en la plataforma. Paso 2. Identificar el mensaje de error que aparece
3
Las versiones de Python 3.0 y posteriores no son vlidas por cuestiones de
incompatibilidad de algunas libreras. cuando el usuario no existe. Este texto ser el que se trate
34
de identificar en el cdigo fuente de la pgina para Paso 6. Aadir en el archivo platform_selection.py de la

confirmar la no existencia del perfil. carpeta osrframework/utils el mdulo recin creado en
Paso 3. [Opcional] Identificar las expresiones regulares orden alfabtico preferiblemente.
con las que se extraer la informacin de los perfiles. Paso 7. Reinstalar la aplicacin desde la carpeta principal
Paso 4. Copiar el archivo __demo.py.sample de la carpeta y confirmar que el mdulo est operativo tanto con
osrframework/wrappers y cambiar el nombre y la perfiles que existen como con perfiles que no existen.
extensin del archivo a .py. Dado que algunas plataformas requieren de autenticacin
Paso 5. Editar al menos las siguientes lneas si se quiere previa del usuario, usufy.py contempla la posibilidad de que el
crear un wrapper para usufy: investigador se autentique en ellas con un perfil propio para
realizar las peticiones y recuperar el contenido que, de otra
a. Lneas 32, 34 y 40. Actualizacin del nombre de
manera, sera inaccesible. En los casos que proceda, se adirn
la plataforma.
las credenciales en el fichero config_credentials.py de la
b. Lnea 41. Modificacin de los tags de la carpeta osrframework/utils.
plataforma. Esto permitir la realizacin de Por su parte, la configuracin de los wrappers para hacerlos
consultas en plataformas etiquetadas con ellos. compatibles con la herramienta de searchfy.py es muy similar.
c. Lnea 48. Puesta a True del valor En ese caso, ser necesario modificar algunos parmetros como
self.isValidMode["usufy"]. la direccin URL de la consulta y dejar por defecto el valor de
d. Lnea 57. Descomentar la lnea (eliminando el su valor self.notFoundText:
# inicial) y modificar la URL base en la que se self.notFoundText["searchfy"] = []
encuentran los perfiles. Es importante que la
Una aproximacin de estas caractersticas facilitar la
cadena de texto que se introduzca contenga el
inclusin de nuevas funcionalidades futuras sobre los wrappers
tag <usufy> en el lugar en el que se colocar el
ya creados basadas en la verificacin de la informacin
usuario de la consulta. Habitualmente, se coloca
retornada tras una consulta a direcciones URL propias de cada
al final de la direccin URL, pero no
plataforma.
necesariamente ha de ser as.
e. Lnea 65. Descomentar y poner a True si procede C. Modelo de datos
del valor self.needsCredentials["usufy"]. Este framework de investigacin est compuesto por
f. Lnea 75. [Opcional] Por cuestiones de herramientas de desarrollo propio que adems interactan con
rendimiento, se pueden determinar los caracteres API de terceros y otras herramientas de software libre para
que puede contener la direccin URL utilizada agregar contenidos. Para realizar esta comunicacin se ha
para obviar, por ejemplo, la utilizacin de alias propuesto un modelo de datos basado en la estructura de un
en Twitter que tengan el carcter .. Para ello JSON (principalmente, por la facilidad con la que estas
habr que definir una expresin regular vlida y estructuras pueden ser serializadas y accedidas) y que hace que
descomentar dicha lnea. En caso de que no se cada objeto est compuesto por tres campos:
sepa, puede dejarse como tal lo que aceptar type. Hace referencia al tipo de objeto del que se trata.
cualquier tipo de alias realizando la peticin en Para evitar problemas de incompatibilidades con
lugar de acelerar el proceso descartndolo de entidades creadas por otros equipos de trabajo, todos
antemano. los tipos de datos de este framework empiezan con la
g. Lnea 84. Descomentar e introducir en la lista la etiqueta i3visio.<tipo>.
cadena de texto que aparece cuando una pgina value. Contiene el valor del campo en cuestin, por
muestra un aviso de que la pgina solicitada no ejemplo un nombre de dominio o un alias.
existe. Este texto debe venir incluido como tal en
attributes. Es una lista de objetos creados de igual
el .html que devuelve la pgina, con lo que es
manera con campos type, value y attributes lo que
necesario comprobar que el contenido aparece en
hace posible que un objeto complemente a otro.
el cdigo fuente de las pginas de error. Por
ejemplo: IV. METODOLOGA DE TRABAJO CON EL FRAMEWORK
self.notFoundText["usufy"] = [Error 404] En esta seccin se recoge la metodologa de trabajo
h. Lnea 98 y siguientes. [Opcional] Incluir en este propuesta para trabajar con las diferentes utilidades incluidas
apartado los campos a extraer de dicha pgina. en el framework. En primer lugar, se partir de la generacin
Es una tarea que es recomendable dejar para ms de alias candidatos a partir de la informacin de contexto
adelante una vez que se confirme el conocida, se proceder a la identificacin de dichos alias en
funcionamiento del wrapper. distintas redes sociales y, en caso de no obtener resultados
satisfactorios, se propondr la utilizacin de aproximaciones
35
ms amplias. Posteriormente, se propondr una primera Los resultados obtenidos generan entidades del mismo tipo que
aproximacin de anlisis de la informacin recuperada y se las entidades de usufy.py que se pueden integrar en los mismos
integrar dicha informacin con la extrada de otras ficheros de salida y pueden venir determinados por la bsqueda
herramientas utilizando como elemento de representacin una de nombres y apellidos junto con otros trminos.
herramienta como Maltego. D. Exportacin y anlisis preliminar de la informacin obtenida
A. Generacin de alias candidatos a partir de informacin conocida Al margen de las capacidades de visualizacin de
En determinadas situaciones, puede no contarse con un alias informacin implementadas a partir de transformadas de
concreto al disponer solamente de algunos datos del perfil Maltego y que se comentan en el apartado G de esta seccin, se
objeto de estudio. Para dichos casos, se ha configurado un cuenta con la posibilidad de, adems de visualizar los
script que genera una lista de posibles alias a partir de la resultados por consola, exportar los resultados obtenidos en
informacin suministrada por el usuario y empleando una serie diferentes formatos.
de transformaciones observadas en el proceso de generacin de Formato JSON. Utilizado ampliamente en los
nuevos alias. En este caso, para lanzar su ejecucin en modo formatos de respuesta a llamadas a API, es til para la
interactivo bastara con escribir: representacin de informacin estructurada y,
python alias_generator.py especialmente, por la facilidad de mapear la
informacin en estructuras de diccionario en
Este modo de empleo preguntar a continuacin datos del
diferentes lenguajes de programacin.
usuario objeto de estudio y almacenar los resultados en un
fichero cuya localizacin se puede especificar utilizando el Formatos tabulares: CSV, ODS, XLS. La utilizacin
parmetro opcional -o. de estos formatos viene dada por la facilidad que
ofrecen los paquetes ofimticos para interactuar con
B. Identificar la existencia de otros perfiles con el mismo alias formatos tabulares en forma de tablas dinmicas y
En el caso de disponer de un alias o lista de ellos , se puede filtros. Esta sencillez permitir al analista la
consultar la existencia de perfiles que los utilicen en todas las realizacin de un filtrado de informacin interactivo
plataformas integradas. Se puede utilizar para ello la empleando estas herramientas as como la agrupacin
herramienta usufy.py de diferentes formas. Existen diferentes de los datos obtenidos entre otras operaciones.
formas de interactuar con la misma, algunas de las cuales, E. Identificacin de informacin adicional de entidades presentes en
aunque no de forma extensiva se recogen a continuacin: recursos web
Para identificar la utilizacin del usuario test_user en
Paralelamente a las capacidades de deteccin, en el
todas las plataformas:
framework se han desarrollado aplicaciones destinadas a la
python usufy.py n test_user p all identificacin de informacin adicional que complemente los
Para identificar la utilizacin de dos o ms usuarios se datos recabados de los perfiles.
puede configurar a travs de la misma lnea de Utilizando el script entify.py, se ha facilitado la
comandos: extraccin de entidades a partir de expresiones
python usufy.py n test_user1 test_user2 p all regulares conocidas. Los mdulos generados se
incluyen en la carpeta osrframework/patterns. Un
Para identificar usuarios incluidos en un fichero de
ejemplo de ejecucin sera el siguiente:
texto:
python entify.py r all w http://i3visio.com
python usufy.py l fichero_nicks.txt p all
Aunque se pueden configurar nuevas expresiones tanto por
Adems, la aplicacin concibe la posibilidad de configurar
lnea de comandos como a modo de extensiones, el framework
opciones de exportacin, seleccin de bsquedas en
trae consigo definidas las, siguientes expresiones regulares a
plataformas concretas, eleccin por tags o configuracin del
extraer integradas: bitcoinaddress, dni, dogecoinaddress, email,
nmero de hilos lanzados de forma simultnea.
ipv4, litecoinaddress, md5, namecoinaddress, peercoinaddress,
C. Identificar la existencia de perfiles asociados a determinadas sha1, sha256 y uri.
bsquedas Identificar la existencia de un correo electrnico
Utilizando el script searchfy.py, se pueden realizar consultas asociado a un alias o un correo electrnico a partir del
contra los servicios de bsqueda de usuarios de diferentes script mailfy.py4. Existe la posibilidad de verificar la
plataformas. Esta funcionalidad extiende la capacidad de existencia de un determinado alias en distintas
usufy.py al permitir aglutinar la existencia de perfiles en plataformas, as como verificar la existencia o no de
diferentes buscadores bajo una misma consulta. Un ejemplo de un correo dado.
ejecucin sera el siguiente:
4
Por razones derivadas de la utilizacin de la librera de terceros python-
python searchfy.py p all -q <name> <surname> emailahoy [5], la funcionalidad de esta aplicacin solamente se ha podido
confirmar en sistemas bajo Linux.
36
python mailfy.py n usuario1 Esta herramienta facilita el establecimiento de relaciones

Identificar posibles casos de spam telefnico visuales entre entidades utilizando cualquier lenguaje de
asociados a un nmero de telfono empleando la programacin que genere salidas en un formato .xml
aplicacin phonefy.py. La filosofa seguida es similar comprensible por ella. En este caso, para implementar dicha
a la de usufy.py. Los resultados retornados en este compatibilidad se ha empleado tambin cdigo Python.
caso devolvern incidencias asociadas a prcticas V. CASOS DE ESTUDIO
abusivas en diferentes fuentes.
En base a la informacin facilitada por las diferentes
python phonefy.py n 910000000 920000000 herramientas facilitadas dentro del framework, se plantean los
F. Obtencin de informacin adicional consultando API de terceros siguientes casos de estudio para los siguientes pblicos
objetivos:
Con la informacin consultada en pasos anteriores, se
Para aquellas fuerzas y cuerpos de seguridad
pueden establecer relaciones a partir de consultas realizadas
dedicadas a la investigacin de usuarios radicalizados
contra servicios de terceros. Actualmente, en la herramienta se
que pudieran estar utilizando las oportunidades que
puede buscar informacin sobre cuentas de Bitcoin en la
ofrecen las redes sociales tanto para comunicarse
cadena de bloques de blockchain.info, consultar si un correo
como publicitar su actividad y captar ms personas.
electrnico ha sido filtrado en haveibeenpwned.com, verificar
la existencia de informacin telefnica en internet, consultar la Para aquellos gabinetes de comunicacin de las
API gratuita de ip-api.com sobre geoubicacin de direcciones empresas dedicados a proteger la imagen de marca de
IP y dominios, consultar la informacin de md5crack.com (si la empresa. Con este framework podrn identificar
se ha configurado el acceso a travs de config_api_keys.py en aquellos perfiles destinados a la suplantacin de su
la carpeta osrframework/utils) y consultar la existencia de identidad o a la utilizacin no autorizada de sus
perfiles asociados a personas, emails o usuarios de Skype si se nombres corporativos en diferentes plataformas.
cuenta con un cliente autenticado (funcionalidades incluidas Para los departamentos de Recursos Humanos de las
tambin incluidas en searchfy.py y usufy.py). Estos scripts que empresas que tengan el inters de contextualizar la
hacen uso de servicios de terceros se encuentran en el actividad en red de los candidatos a incorporarse a una
directorio osrframework/thirdparties. empresa.
G. Visualizacin de transformadas a travs de Maltego Para los auditores de seguridad que deseen medir el
nivel de concienciacin en materia de ciberseguridad
Pese a que cada una de las herramientas pueden utilizarse de los empleados de una empresa. Este framework les
por separado, existe la posibilidad de consumir los resultados a sirvir para obtener informacin de sus vctimas en
travs de transformadas de Maltego. Opcionalmente, se pueden numerosas plataformas para realizar los ataques.
generar los ficheros de configuracin que podrn importarse
En cualquier caso, las capacidades de la herramienta pueden
desde Maltego y que crearn los enlaces a las diferentes
ser ampliadas tanto para ampliar las posibilidades de xito en
transformadas y entidades que se pueden utilizar en dicha
investigaciones planteadas en los casos anteriores como para
herramienta.
proponer otros nuevos en funcin de la naturaleza de las
python configure_maltego.py fuentes que sean incorporadas a herramientas como usufy.py o
Esta operacin generar un fichero .mtz de configuracin de searchfy.py.
Maltego en la carpeta osrframework/transforms/lib/ y que ser VI. LNEAS DE TRABAJO FUTURAS
necesario importar desde la plataforma. Con ello se generan no
solamente las entidades de Maltego sobre las que las Como herramienta de software libre bajo licencia GPLv3+
transformadas se podrn utilizar. [6], es una herramienta en continuo desarrollo susceptible de
Las transformadas son procedimientos que reciben como seguir ampliando capacidades en funcin de las necesidades de
entrada una entidad de un tipo determinado (un alias, un email, desarrolladores actuales y futuros. En cualquier caso, hay una
unas coordenadas, una direccin IP, etc.) y que generan como serie de lneas de accin que quedan ya definidas por las
salida otra entidad o un conjunto de ellas relacionadas con la necesidades actuales:Integracin de nuevas plataformas para la
original visualizando la relacin a travs de una interfaz identificacin de usuarios. Dada La inclusin de nuevos
grfica. wrappers no es costosa aunque s requerira de un
En el caso de OSRFramework, se han aprovechado las mantenimiento, ya que la actualizacin de elementos de la
posibilidades de configurar herencia entre entidades para pgina puede derivar en la identificacin incorrecta de nuevos
establecer una jerarqua de entidades que facilite la gestin de perfiles.
las transformadas. De esta manera, cualquier transformada que Extraccin de campos de cada una de las plataformas
permita recibir un elemento de un tipo determinado, tambin identificadas empleando expresiones regulares, de
podr ser ejecutada sobre un tipo de entidad hijo del anterior. modo que puedan ser correlados con parmetros de
otras plataformas. El framework en su versin v0.9.0
37
no cuenta con una integracin completa de todos los VII. CONCLUSIONES

mtodos de extraccin de campos. Sin embargo, el Las unidades de inteligencia necesitan herramientas que les
proceso de extraccin de campos utilizando permitan identificar de forma automatizada la creacin de
expresiones regulares y su posterior integracin en los ciertos usuarios en plataformas de internet de cara a poder
wrappers ha sido igualmente considerado de cara a atribuir una accin que, o bien ha tenido lugar en la red, o bien
dotar en futuros versiones de cierta flexibilidad a la ha tenido ramificaciones que derivan en ella. Sin embargo, la
plataforma. ausencia de soluciones que permitan satisfacer este tipo de
Ampliacin de las capacidades para la realizacin de requerimientos de informacin es un problema de cara a
bsquedas dentro de las plataformas empleando resolver cuestiones asociadas a la atribucin.
searchfy.py. En la versin v0.9.0, solamente est Por este motivo, las herramientas necesitan ser modulares
integrada la URL de consulta de Twitter, Facebook y para poder integrar sin demasiado esfuerzo y con suficiente
otras plataformas que cuentan con buscadores de flexibilidad nuevas fuentes de inters de cara a una
perfiles concretos. pero la lgica interna ha tenido en monitorizacin automtica de lo que est ocurriendo en foros y
cuenta la posibilidad de incluir nuevos wrappers de plataformas sobre los que se tiene un inters concreto. Dadas
forma flexible. estas necesidades, se ha diseado una herramienta de software
Integracin de nuevas API de terceros que permitan el libre que permite identificar usuarios y perfiles acordes a unos
enriquecimiento de la informacin identificada con requisitos previos en diferentes tipos de sitios de internet
bases de datos adicionales adecuadas al modelo de permitiendo a los analistas la creacin de nuevos wrappers en
datos propuesto por el framework. Este proceso de lapsos de tiempo lo ms reducidos posibles.
integracin ms all de la realizacin de la consulta, AGRADECIMIENTOS
conlleva la adecuacin de los tipos de datos recibidos
al modelo normalizado utilizado en el resto de Agradecemos a los miembros de las Fuerzas y Cuerpos de
aplicaciones. Seguridad del Estado, a Thiber, The Cybersecurity Think Tank,
a ISACA y a otras personas que a ttulo personal han facilitado
Adicin de nuevas transformadas y formas de
recomendaciones y comentarios, colaborando en la maduracin
representacin de la informacin tanto si son a travs
y desarrollo de este proyecto.
de Maltego como de otras herramientas. Los autores
son conscientes de que una parte importante de todo REFERENCIAS
proceso de investigacin tiene que permitir la [1] F. Brezo Fernndez y Y. Rubio Viuela, Herramientas de apoyo a la
visualizacin lo ms clara posible de los resultados de infraestructura tecnolgica de los grupos organizados que operan en la
cara al establecimiento de relaciones y a la red, Cuad. Guard. Civ., vol. 50, pp. 27-47, feb. 2015.
[2] Y. Rubio Viuela y F. Brezo Fernndez, Futuras lneas de trabajo para la
presentacin de la informacin. prevencin de blanqueo de capitales en las plataformas de juego en
La informacin obtenida en los pasos anteriores es til lnea, Doc-ISIe, ene. 2013.
[3] Paterva, Maltego Chlorine Community Edition. 2015.
de cara a la mejora de la eficacia de las tcnicas [4] F. Brezo Fernndez y Y. Rubio Viuela, OSRFramework. i3visio, 2014.
ofensivas convencionales, integrndola con [5] V. Neekman, python-emailahoy. 2012.
parmetros que personalizan dichos ataques para cada [6] Free Software Foundation (FSF), GNU General Public License v3.0.
29-jun-2007.
usuario. Una de las lneas de trabajo concibe la
integracin de las entidades recuperadas en un
escenario de explotacin que hace uso de dicha
informacin de una forma que no necesariamente
requiera conocimientos tcnicos avanzados para la
ejecucin de los ataques. En este sentido, el aterrizaje
de propuestas concretas para la utilizacin de dicha
informacin en ataques de ingeniera social y spear
phishing contra usuarios es una lnea de trabajo a
considerar.
Hasta el momento, estas tareas son llevadas a cabo por los
autores quienes estn al tanto de su mantenimiento, pero una
comunidad de desarrolladores ms amplia podra dotar de
tiempos de respuesta ms cortos ante modificaciones en las
plataformas, errores, incidencias y otras mejoras susceptibles
de ampliar las funcionalidades del framework.
38
Neural Networks applied to the learning process of

Automated Intrusion Response systems
Pilar Holgado, Vctor A. Villagra
Departamento de Ingeniera y Sistemas Telemticos, Universidad Politcnica de Madrid Avenida Complutense, 30, 28040,
Madrid
pilarholgado@dit.upm.es, villagra@dit.upm.es
Abstract- The architecture for an Automated Intrusion Current AIRSs have a fixed approach to response metrics, so
Response System (AIRS) has been proposed in the RECLAMO that the metric cannot be dynamically chosen. We propose a
project. This system infers the most appropriate response for a
given attack, taking into account the attack type, context security architecture to be able to dynamically select the most
information, and the trust of reports from IDSs. Also, it is appropriate response. It takes into account factors such as the
necessary to evaluate the result of previous responses, in order to systems context, cost of responses, importance of resources,
get feedback for following inferences. This paper defines an and efficiency of responses.
algorithm to determine the level of success of the inferred In this scope, the RECLAMO project (Virtual and
response. The objective is the design of a system with adaptive
and self-learning capabilities. Neural Networks are able to Collaborative Honeynets based on Trust Management and
provide machine learning in order to get responses classification. Autonomous Systems applied to Intrusion Management), an
R&D project funded by the Spanish Ministry of Science and
Innovation, defines an AIRS able to dynamically interpret
I. INTRODUCTION metrics. In particular, it is achieved with an adaptive
Security is an important issue for any corporation. They have autonomous system based on assessment of the harm caused
to keep their systems safe from external attacks to maintain the for the intrusion and the cost of the responses.
service levels. Also, they must provide to costumers inside The autonomous system is developed based on information
information and correct operation of applications. formal models defined by ontologies [6]. It is used to represent
As the number of security incidents increases, becoming intrusion information, parameters of self-evaluation,
more sophisticated and widespread [1], Intrusion Detection confidence and reputation of IDSs, and others. The security
Systems (IDSs) [2] have evolved rapidly and there are now metrics use this information to infer the most appropriate
very mature tools based on different paradigms (statistical response. These metrics are represented in the formal language
anomaly-based [3], signature-based and hybrids [4]) with a SWRL (Semantic Web Rule Language) [7].
high level of reliability. IPSs (Intrusion Prevention Systems) IDMEF-based Ontologies (Intrusion Detection Message
have also been developed by combining IDS with a basic Exchange Format) [8] are used to homogenize information.
reactive response, such as resetting a connection. IRSs IDMEF format provides a common language to generate alerts
(Intrusion Response Systems) leverage the concept of IPSs and about suspicious events and are stored in Ontology classes [9].
provide the means to achieve specific responses according to The Ontology have been defined using OWL (Web Ontology
some predefined rules. Language) [10]. It takes advantages of Semantic Web, such as
Nowadays, IRSs are playing an important role in the security information inference.
architecture. These systems mitigate the impact of attacks in Our goal is to analyze the response efficiency triggered after
order to keep integrity, confidentiality and availability of the the arrival of an intrusion. Moreover, we want the AIRS to
resources. Automated Intrusion Response Systems (AIRS) automatically learn from previous responses. Specifically, we
provide the best possible defense, as well as shortening or propose the use of Neural Networks for this task.
eliminating the delay before administrators come into play. Artificial Neural Networks are a branch of Artificial
AIRSs are security technologies with the goal of choosing Intelligence called Machine Learning. In this group, there are a
and triggering automated responses against intrusions detected lot of learning techniques [11]. The purpose of our algorithm is
by IDSs, in order to mitigate them or reduce their impact [5]. to classify the success of the triggered response. Thus, the
Metrics are defined to measure different parameters AIRS is able to accomplish a self-learning process through a
necessary for response selection, such as the IDS confidence, response rate for future incidences of same kind.
the network activity level, the reliability of intrusion reports, The remainder of this paper is organized as follows. Section
and the importance of network components. Also, it is very II outlines the current state of the art in evaluation response and
relevant taking into account the complexity, severity, cost and Neural Network. The architecture of the AIRS is presented in
efficiency of responses. section III. Section IV gives an overview of the inference
process of the response system. The Neural Network proposed
is shown in section V along with its topology and parameters.
39
The mathematical algorithm of artificial neural network is

detailed in section VI. Section VII explains how to calculate
the response efficiency and finally, conclusion and future
works are included in section VIII.
II. RELATED WORKS
Nowadays, Automatic Learning is a key concept in the

prevention, detection and response systems against intrusions.
In this section we show some current research in response
effectiveness. Fig. 1. Architecture of AIRS based Ontology
MAIM [12] is an adaptive intrusion response system based
in artificial immune. This approach implements a policy The AIRS receives a set of inputs including the intrusion
according to global risk, rather than focusing on individual reports, context information, policies of security metrics and
attacks. Like us, they use a bio-inspired algorithm. Specifically intrusion response ontology. The policies specify different
they are based on the immune system. They learn about the metrics that will be chosen depending on the context and type
dangerous states of the network to detect false positives. Then of intrusion.
a more or less strict response to an attack based on predefined The Reasoner runs inference process to choose the best
policies is triggered. In contrast, we use bio-inspired learning response based in other modules (Policies, Alerts Receiver,
for assessment of triggered response to a given attack. In Context Receiver and Intrusion Response Ontology). OWL is
addition, we perform context analysis for false positives used to define all the information of the response process.
detection and we launched a more or less strict response based The Intrusion Response Ontology defines the concepts and
on the attack and response costs in terms of the significance of relationships needed in the autonomous system. The ontology
the assets. is based on the IDMEF structure including classes and
In [13], multi-step attacks are mitigated through several properties. There are two main classes related with the
executions of responses sets. At the end of each response set, a evaluation system: Response and Result. Each of these classes
mechanism that measures the effectiveness of such responses is have properties related with this objective. The Response class
launched. In particular, the online risk assessment measures the has two properties associated, executionTimes and
risk index of an applied round of responses instead of one sucessFactor. responseEfficiency is the property included in
applied response. This affects the order in which the responses the Result class. They are defined in section VII.
are triggered within the set in a determinate level. In our case, The Intrusion Response Evaluation module evaluates the
the measurement of response effectiveness is entirely responses triggered by the AIRS and is the scope of the main
individual based on system and network contexts. contribution of this paper. We propose to get response
COSIRS [14] is based in three factors for response efficiency evaluation by using a pre-trained neural network.
assessment: cost of intrusion damage, cost of automatic
response and operational cost. In contrast with the system
proposed in this paper, they have not taken into account the IV. AIRS INFERENCE PROCESS
effectiveness against the attack in progress. That is, whether The response efficiency is an essential factor to achieve an
the selected response has been successful against intrusion at adaptive AIRS. This factor is used in the inference process that
this time. Moreover, we have also taken into account in our performs the AIRS reasoning to select the best response.
metrics the intrusion cost, response cost and deployment cost Furthermore, the inference is based on metrics that are defined
[18]. and analyzed in [18].
Also, neural networks have been used in network security, Inference process has the following steps:
specifically, there are approaches using supervised and
unsupervised algorithms in intrusion detection systems. For 1. Collecting information from intrusion when it arrives:
example, [15] and [16] use Backpropagation algorithm for System context, network context and reports from
IDSs.
IDSs.
2. Inference of a recommended set of responses:
a. If the intrusion is similar to a previous one,
III. ARCHITECTURE the previously selected response is executed
if the proposed neural network algorithm
Fig. 1 represents the modules of AIRS proposed in [17]. The
indicated that this response was satisfactory.
goal of this architecture is to choose the optimal response of a
b. In other case, recommended responses are
set of available responses. inferred based on polices, metrics, intrusion
type and context parameters.
40
3. Optimal response according to the importance of the real values and not using thresholds, so that after calculating
asset committed is selected. For significant and the total satisfaction of the response, the AIRS makes the
critical assets, we consider the response efficiency decision of whether or not the response is good enough.
measured with the values given by neural network in
previous executions of the response. A. Topology
The generic topology of a multi-layer neural network is
V. NEURAL NETWORK represented in Fig. 2. Neural Networks always have an input
layer and an output layer with one or more neurons per layer.
Artificial Neural Networks are interconnected networks in In this figure, the input layer has five neurons, taking into
parallel with a hierarchical organization. These Neural account the bias neuron and the output layer has one neuron.
Networks attempt to interact with real world objects in the The subsection B explains the input layer for our goal. The
same ways as nervous system does [19]. output layer has one neuron to represent response efficiency.
Neurons are interconnected by their synapses, allowing Furthermore, the number of hidden layers and neurons should
transmission of information. The connections are not all equal, be chosen considering the total number of neurons, the
generalization error and the overfitting, as explained below.
The relationship between number of parameters and patterns
must be within 10% or 20% so that we need enough patterns
for generalization. Therefore, we must take into account this
relationship to select the number of neurons in the hidden layer
(or several hidden layers):
- Few neurons in the hidden layer will lead to higher
training and generalization error due to underfitting.
- In contrast, if there are many neurons in the hidden
layer then a low training error is obtained, but it has a
high generalization error due to overfitting.
The number of hidden layers should be taken in account,
since increasing the layers number can greatly increase the
so you have to assign weights to the connections, (Wi,j,k). number of parameters. In addition, most problems can be
Fig. 2. Multi-layer topology of Artificial Neural Networks solved optimally with one or two hidden layers.
Thus normally, the optimal neurons number in the hidden
The weights obtained after the learning phase determine the
layer is 2/3 of total neurons corresponding to sum of neurons in
network output so they become the memory of neural
both input and output layers.
networks.
The implementation of a Neural Network is parameterized in
Neural networks are particularly useful to solve problems
numbers of neurons and layers to find the best topology. This
that cannot be expressed as step by step problems, such as
analysis will be realized in an initial training phase.
pattern recognition and classification. In our case, it will be
used for intrusions response classification.
In particular, a Backpropagation algorithm is used to B. Input parameters
evaluate the response selected by the AIRS. This algorithm The input parameters could be the system and network
solves our problem because it determines the satisfaction of the context, but normal context depends on the device or system.
response for any system or intrusion. Therefore, the selected input parameters correspond to the
Moreover, we propose the use of a Backpropagation anomaly degree of system and network context. This allows
algorithm, as it is possible to have a training set. Supervised the algorithm to be independent and it can be installed on all
learning provides the following benefits: hosts. Anomaly degree corresponds to system and network
context after executing a response compared to normal
- The network converges faster than using an
context. Context Anomaly Degree is calculated by entropy
unsupervised algorithm.
variance based on Shannons Information Theory.
- Learning is based on previous observations collected The context parameters taken into account in our algorithm
by a set of instances classified during experimentation are: Status, latency, CPU usage, disk space, number of active
on a test system. processes, number of users, number of zombie processes and
A trained neural network takes input samples and sorts them network assessment.
into groups. These can be fuzzy, i.e. the boundaries are not It is necessary to normalize the results of entropy variance
clearly defined, or with defined borders if thresholds are calculated for use it in the Backpropagation algorithm, since
selected. The proposed system is evaluating the response with very high values may impair algorithm effectiveness.
41
Fig. 3. Virtual test scenario
C. Transfer function
A sigmoid function will be used as activation function and
VI. LEARNING ALGORITHM
thus to determine the level of success of the inferred response.
Specifically, we use bipolar functions to achieve faster Backpropagation algorithm is based on gradient descent
stabilization error. method to approach the Mean Square Error.
We will prove two sigmoid functions:
- Bipolar logistic sigmoid function: !" + 1 = !" + !" (6)
!" = ! ! (7)
2
= 1 (3)
1 + !!
Where ! is the propagated error, ! is the input value and
is the learning factor.
- Hyperbolic tangent function: However, the error function usually has many local minima.
! !! Synaptic weights may depend on the mean gradient of the
= (4) environment points, rather than relying on a single point, to
! + !!
avoid getting trapped on a local minimum. But this
modification requires a large computational effort and is not
D. Stop condition efficient. Therefore, we have implemented two improvements
Stop condition is determined from Mean Square Error of the algorithm to prevent local minimum: adaptive learning
(MSE): factor and backpropagation with momentum [20].
= (!"# !" )! (5)
VII. INTRUSION RESPONSE EVALUATION MODULE

Where !"# is the desired output and !" is the generated
output by the algorithm. The trained neural network evaluates the response triggered
Thus, the Backpropagation algorithm tries to find the neuron by the AIRS. A satisfactory response is represented by 1, and
weights that minimize MSE value, in order to obtain the most an unsatisfactory response with a value of -1. The output in
accurate classification. real value is taken to give more detail to the result instead of
using a step function. Thus, the improvement achieved by the
response against the intrusion is shown in an interval [1, -1]
E. Validation and its named SuccessLevel. After that, the response
Validation is the last step and it is very important because it efficiency is calculated as follows:
!!!
determines whether the algorithm requires additional training.
To validate the generalization of neural network is necessary to = ! (8)
have a test set. !!!
If the training set has too much information then the neural !"##$%%&'#()*
ResponseEfficiency = (9)
network can suffer overlearning. Therefore, we use cross- !"#$%&'()*'+#,
validation method to avoid overfitting. That is, available

Executiontimes and j are the times that this response was
sample is divided into two sets, training and test, with
triggered.
examples of all pattern types.
42
VIII. VALIDATION - Using SAB method that combines adaptive learning

factor and backpropagation with momentum.
Neural Networks need a training phase to construct network
- Using others bio-inspired algorithms as immune
topology and select the best values for weights of the
system.
connections. For facilitate this task, the implementation has
been made in a parameterized form. Moreover, this
implementation form allows studies of efficiency of distinct ACKNOWLEDGMENT
architectures of Neural Network. Thus we can obtain the best
result for the partial response efficiency in real time. This work has been partially funded with support from
The validation is taken place by integrating this module in Spanish MICINN (project RECLAMO, Virtual and
the AIRS. Then, the system will be executed in a controlled Collaborative Honeynets based on Trust Management and
virtual environment. The virtual scenario is simulating a small Autonomous Systems applied to Intrusion Management, with
organization with different servers, firewall and hosts (Fig. 3.). codes TIN2011-28287-C02-01 and TIN2011-28287-C02-02)
This scenario has been constructed using the VNX tool [21].
To collect the necessary samples of system and network REFERENCES
context, the validation prototype uses the Nagios and Sancp
[1] Symantec Corp., Internet Security Threat Report, Vol. 17, Abril 2012.
tools to monitor system parameters and network traffic. Also, [2] Anderson, James. Computer Security Threat Monitoring and
we will attack servers or hosts of the virtual scenario to create Surveillance. Washing, PA, James P. Anderson Co. 1980.
real alarms in the IDSs using Kali Linux and attack scripts. For [3] H. J. Mattord. Principles of Information Security Course Technology.
2008. ISBN 9781423901778: 290-301.
example, we attack a virtual web server with DoS (Denegation
[4] Ali Aydin M, Halim Zaim A, Gkhan Ceylan K. A hybrid intrusion
of Service) using slowloris script from the attacker host [22]. detection system design for computer network security. Comput Elect
In our case, we need a minimum of about 200 samples of Eng, 2009; 35(3):51726.
context to train the neural network with one layer. For it, we [5] Stakhanova N, Basu S, Wong J. A taxonomy of intrusion response
system. Int J Inform Comput Secur. 2007; 1(1/2):16984
will implement an automatic script to execute different attacks. [6] J. E. Lpez de Vergara, E. Vzquez, A. Martin, S. Dubus, M. N.
Once we have all the patterns, they will be presented to Lepareux. Use of ontologies for the definition of alerts and policies in
different topologies of the neural network. The best topology a network security platform, Journal of Networks, Vol. 4, Issue 8
(2009) pp. 720-733
will be selected for use in the calculation of the effectiveness of [7] I. Horrocks, P.F. Patel-Schneider, H. Boley, S. Tabet, B. Grosof, M.
the response. Dean, SWRL: A semantic web rule language combining OWL and
This neural network will be represented as several RuleML. W3C Member Submission, 21, 2004.
[8] H. Debar, D. Curry, B. Feinstein. The Intrusion Detection Message
mathematical functions based in backpropagation algorithm Exchange Format (IDMEF). IETF Request for Comments 4765, 2007
and the calculated weights. SucessFactor will be the output of [9] J.E. Lpez de Vergara, V.A.Villagr, J.I. Asensio, J. Berrocal.
this neural network when the AIRS launches a response. Ontology-based network management: study cases and lessons
Finally, the response efficiency will be calculated as we learned. J Network Syst Manage 2009; 17(3):23454.
[10] D. L. McGuinness, F. van Harmelen. OWL Web Ontology Language
explain in subsection VII. Overview. W3C Recommendation 2004
[11] Hu, Xunlei Rose, and Eric Atwell. "A survey of machine learning
approaches to analysis of large corpora." Proceedings of the Workshop
IX. CONCLUSION AND FUTURE WORK on Shallow Processing of Large Corpora, Lancaster University, UK.
2003.
In this paper we propose to use Automatic Learning to train [12] Ling-xi Peng, Dong-qing Xie, Ying Gao, Wen-bin Chen, Fu-fang Li,
an Automated Intrusion Response System. Specifically, we Wu Wen. An Inmune-inspired Adaptative Automated Intrusion
have chosen Backpropagation Algorithm to measure response Response System. International Journal of Computational Intelligence
Systems, 2012, 5:5, 808-815
efficiency and thus, to provide adaptability to the AIRS. [13] Alireza Shameli-Sendi, Julien Desfossez, Michel Dagenais, Masoume
This technology classifies any type of response, regardless of Jabbarifar. A Retroactive- Burst Framework for Automated Intrusion
the type of intrusion detected by the system. That is, the system Response System, Journal of Computer Networks and
Communications, Volume 2013.
can obtain good results even to unknown intrusions because we [14] Justina, Aderonke, and Adesina Simon. A credible cost-sensitive model
have made the algorithm independent of the intrusion type. for intrusion response selection. In Computational Aspects of Social
First, it is necessary obtain patterns of system and network Networks (CASoN), 2012 Fourth International Conference on, pp. 222-
227. IEEE, 2012.
context for studying intrusion types. Last, we will analyze [15] Z. Mahmood, C. Agrawal, S. S. Hasan, S. Zenab, Intrusion Detection
different topologies using cross-validation method with the in Cloud Computing environment using Neural Network. International
training and test sets. Once the best neural network is selected, Journal of Research in Computer Engineering & Electronics, 2012. 1(1),
19-22.
the system is prepared to evaluate efficiency of the triggered
[16] [20] R. S. Naoum, Abid, N. A., Z. N. Al-Sultani, An Enhanced
response for the AIRS. Resilient Backpropagation Artificial Neural Network for Intrusion
We propose to use other improvements of the Detection System. IJCSNS, 2012. 12(3), 11.
backpropagation learning algorithm as future work: [17] V. Mateos, V.A. Villagr, F. Romero. Ontologies-Based Automated
Intrusion Response System. Computacional Intelligence in Security
- Randomly initializing weights based on range. for information Systems 2010. Volume 85/2010. 2010:99/106
43
[18] V. Mateos. V. A. Villagr, F. Romero, J. Berrocal. Definition of

response metrics for an ontology-based Automated Intrusion Response
Systems. Computers & Electrical Engineering. 2012.
[19] J. Heaton. Introduction to Neural Networks for Java. 2nd Edition.
[20] Rumelhart, D.E., Hinton, G.E. y Williams, R.J. (1986). Learning
internal representations by error propagation. En: D.E. Rumelhart y J.L.
McClelland (Eds.). Parallel distributed processing (pp. 318-362).
Cambridge, MA: MIT Press
[21] Galn F, Fernndez D, Lpez de Vergara JE, Casellas R. Using a
model-driven architecture for technology-independent scenario
configuration in networking testbeds. IEEE Commun Mag 2010:132
141.
[22] KATKAR, Vijay, et al. Detection of DoS/DDoS Attack against HTTP
Servers Using Naive Bayesian. En Computing Communication Control
and Automation (ICCUBEA), 2015 International Conference on. IEEE,
2015. p. 280-285.
44
1
Spam Honeypots in Cloud Services

Carlos Cilleruelo Rodrguez1 , Alberto Cuesta Parejo1 , Manuel Sanchez Rubio2
1
Department of Computer Science, Universidad de Alcala
2
Lead Researcher in Cibersecuritics Research Group, Universidad Internacional de La Rioja
carlos.cilleruelo@edu.uah.es, alberto.cuesta@edu.uah.es, manuel.sanchezrubio@unir.net
Abstract Spam capture and analysis via spam honeypots II. Software utilizado Spam Traps
on cloud servers. The present document exposes the detai-
led architecture and configuration of cloud servers which A. Shiva Spam Honeypot
purpose is capture spam. This purpose was arranged deplo-
ying three servers and capturing spam for a month. Some Shiva es una honeypot programada en lenguaje Python
of the data obtained is presented in this paper, more than cuyo proyecto se encuentra liberado bajo licencia GNU ge-
32 millions of email addresses and 32.800.820 spam mails neral public license, lo que permite realizar modificaciones
has been logged in this period of time.
del codigo.
Keywords Spam, Honeynet, Shiva, Modern Honey Net-
work(MHN), Snort, Cloud
Al instalar y configurar Shiva se habilita un servidor de
correo. En nuestro caso este servidor SMTP se ha dejado
sin autenticacion y en el puerto por defecto, el 25.
I. Introduccion En el caso de que se enve un correo a traves de nuestro
La finalidad de este trabajo es el estudio de las cam- servidor con Shiva se almacenara la informacion en una
panas de spam actuales para su posterior analisis. Esto base de datos, pudiendose mantener en local o remoto, es-
puede servir para detectar nuevas campanas de phishing te proceso se llevara a cabo mediante el modulo Reciever
o malware, as como los patrones usados para tal proposi- de Shiva. El propio Shiva analiza los correos recibidos ob-
to, permitiendo posteriormente su estudio. teniendo los archivos adjuntos y el texto enviado. Shiva
Actualmente existen dos aproximaciones para el estu- compara los mensajes nuevos con los existentes mediante
dio de las campanas de spam mediante spam traps. Una fuzzy hashing, de modo que si existe una similitud ma-
primera aproximacion consiste en la creacion de diversas yor al 85 % en la comparacion de dos mensajes se tomara
cuentas de correo en diferentes dominios, esperando co- el mensaje como el mismo, de esta parte se encargara el
rreos de spam para capturarlos, pudiendo existir dos ver- modulo Analyzer de Shiva.
tientes de esta aproximacion:
Spam traps puras: en este caso las cuentas de co- B. Snort
rreo se crean explcitamente para la captura de spam, Snort es un sistema de deteccion de intrusos (IDS), un
de forma que la direccion se pueda obtener por utili- proyecto de software libre que permite analizar trafico en
zar nombres comunes (i.e. pedroperez@email.com, jose- tiempo real.
garcia@email.com...). Estas cuentas no deberan ser filtra- El uso de este IDS permite enviar datos a un servidor
das, ni deberan enviar correos o recibirlos, de modo que central ya que Snort soporta hpfeeds gracias a un proyecto
todo lo que llegue a ellas solo sera spam, producido por la realizado por la empresa Threatstream [4].
inferencia del nombre de la cuenta para el envo de spam. Snort tambien permite crear nuevas reglas y alertas res-
Spam traps recicladas: consiste en utilizar cuentas de co- pecto al trafico que pasa a traves del servidor. En este caso
rreo que ya han sido usadas para envo y recibo de correos se han creado y aplicado reglas asociadas a detectar trafico
electronicos o que han podido ser filtradas en Internet, en el puerto 25.
como ocurre con muchas cuentas filtradas en paginas de
pastes como la conocida PasteBin. C. Modern Honey Network
En este trabajo se ha optado por una segunda aproxi-
Modern Honey Network (MHN) es un proyecto de soft-
macion basada en honeypots habilitados como servidores
ware libre que permite desplegar una honeynet de forma
SMTP. Para la captura de spam se han desplegado varias
sencilla y rapida. Consta de un servidor central, el cual re-
spam honeypots en la nube y de esta forma poder com-
cibira informacion de los multiples honeypots que se des-
probar la viabilidad del proyecto. Una spam honeypot no
plieguen.
deja de ser un tipo de honeypot que tiene como finalidad
La informacion de cada honeypot es recibida a traves de
la captura de spam.
hpfeeds [5] y se guardara en una base de datos MongoDB.
Por un lado tendremos Shiva [1] como servidor de correo
MHN tambien dispone de una REST API a traves de
SMTP abierto para recibir y analizar mensajes, junto con
la cual podemos acceder a los datos obtenidos y permi-
Shiva se ha desplegado un sistema de deteccion de intru-
te su integracion con Honeymap [6] para ver los ataques
siones SNORT [2] para detectar escaneos y ataques. Como
realizados a las maquinas en directo.
panel de control y centralizacion de datos se ha utilizado
La arquitectura puede verse esquematicamente en Fig.
Modern Honey Network [3]. Ademas para almacenar los
11 .
datos obtenidos de correos spam se ha optado por el uso
de una base de datos MySQL. 1 Imagen obtenida de http://threatstream.github.io/mhn/
45
2
Fig. 1. Arquitectura de MHN
III. Uso de la nube y Arquitectura

Fig. 2. Arquitectura
A. Por que usar la nube?
El uso de servidores en la nube viene motivado por la es-
calabilidad. Los servicios en la nube permiten crear image- Esta base de datos es gratuita durante todo el primer ano
nes de los servidores, una vez se ha configurado una spam de uso.
honeypot podran levantarse nuevos servidores en segundos El coste total que ha supuesto el despliegue de los ser-
a partir de esa imagen [7]. vidores ha sido de 20$ al mes.
Gracias a esta flexibilidad se podra escalar el numero de
honeypots desplegados o reducirlos en muy poco tiempo. IV. Configuracion y securizacion de Spam
En este caso se ha optado como proveedores Digital Honeypots
Ocean y Amazon Web Services. A. SSH
B. Arquitectura Al no tener acceso fsico a las maquinas en la nube,

todos los servidores tienen acceso a traves de ssh. Todas
La arquitectura no es de excesiva complejidad, por un las maquinas cuentan con acceso exterior a Internet, por
lado se configuran las spam honeypots con Shiva que esa razon se considera necesario fortificar el servicio ssh.
envan los datos obtenidos a una base de datos MySQL, En primer lugar se generan un par de claves RSA y se
centralizando de esta forma los datos obtenidos. copia la clave publica al servidor. De esta forma se evita
Al tener una base de datos centralizada se puede liberar el acceso con contrasena.
de carga a los servidores de correo y disponer de los datos
de las spam honeypots en una unica base de datos para 1 sshkeygen t r s a
2 sshcopyi d i . s s h / i d r s a . pub root@X .X.X.X
un posterior manejo de los datos mas sencillo.
Por otra parte cada Snort instalado en los servidores Posteriormente se modifica el archivo sshd config cam-
enva informacion al Servidor MHN que permite tener un biando el puerto por defecto e impidiendo la autenticacion
control en tiempo real de los posibles escaneos o conexio- con contrasenas:
nes a los servidores. 1 Port 2222
2 P a s s w o r d A u t h e n t i c a t i o n no
C. Especificacion de Servidores
Ubuntu 14.04 x64 bits Finalmente se puede activar facilmente un segundo fac-
RAM: 512 MB tor de autenticacion como el de Google [9].
Disco SSD: 20 GB
B. MHN Server
Digital Ocean Droplets
RAM: 1 GB Aunque MHN es un software que actualmente se en-
Disco: 20 GB cuentra en fase beta, la instalacion no supone ningun pro-
Amazon Web Services RDS blema. Utilizando el script install.sh del proyecto instala-
remos todo lo necesario y si todo es ejecutado de forma
D. Coste correcta se tendra la aplicacion operativa.
Cada servidor alojado en Digital Ocean tiene un cos-
C. Snort
te de 5$. En las pruebas realizadas estos servidores han
funcionado perfectamente. Se han desplegado 3 spam ho- Instalar Snort en los servidores es un proceso sin com-
neypots y el servidor MHN en Digital Ocean. plicaciones gracias a MHN. Desde la seccion de deploy
La base de datos MySQL se encuentra alojada en Ama- podra seleccionarse Snort, lo que generara un comando
zon Web Services, siendo de tipo RDS Free Usage Tier [8]. como este:
46
3
1 wget h t t p : / /X.X.X.X/ a p i / s c r i p t /? t e x t=t r u e& Tras estos pasos sera necesario modificar el fichero de
s c r i p t i d =8 O d e p l o y . sh && sudo bash configura.cion shiva.conf que se encuentra en la carpeta
d e p l o y . sh h t t p : / /X.X.X.X tLGQ77cf
Shiva generada por el script install.sh.
Si se ejecuta este comando en el servidor en el cual que Los campos a modificar de forma imprescindible seran:
se pretende instalar Snort, se instalara el sistema de de- listenhost: IP del servidor que va a crear un servidor
teccion de intrusiones y automaticamente se configurara SMTP

para reportar los datos al servidor MHN. 1 [ receiver ]
Esto se puede realizar multiples veces aunque, tras ca- 2 l i s t e n h o s t : X.X.X.X
da instalacion, se debe generar un nuevo comando desde listenport: Cambiar el puerto del servidor SMTP al 25.
MHN. Se recomienda usar el puerto 25 ya que es el puerto por
Llegados a este punto ya se encuentra Snort instalado defecto para el protocolo SMTP.
pero con las reglas open version 2.9.0 [10]. Gracias a es- 1 [ receiver ]
tas reglas podran detectarse multiples ataques, pero sobre 2 l i s t e n p o r t : 25
todo sera de interes el estudio de las conexiones al puerto
Sensor: Se otorga un nombre al servidor para poder dis-
25, que es donde estara el servidor SMTP abierto.
tinguirlo del resto de spam honeypots. En la base de datos
Para que se produzca un aviso cada vez que haya una centralizada quedara registrado con este nombre.
comunicacion externa con el puerto 25 es necesario anadir
1 sensorname : r h a e g a l
una nueva regla a Snort. Al final del archivo local.rules
que se encuentra en la ruta /opt/snort/rules, se anade la Relay: En un principio se mantendra la opcion de Relay
siguiente regla: activada, de este modo nuestro servidor enviara los emails
1 a l e r t t c p $EXTERNAL NET any > $HOME NET 25 ( que le lleguen. Si posteriormente se detecta un envio ma-
msg : SMTP AUTH LOGON ; classtype : sivo de spam desde nuestro servidor es recomendable des-
s u s p i c i o u s l o g i n ; s i d : 1 0 0 0 0 0 1 ; r e v : 5 ; ) activar la opcion para evitar acabar en listas negras.
Una vez agregada la regla debera reiniciarse Snort para 1 r e l a y : True
que empiece a aplicar la nueva regla creada: Schedulertime: Con este parametro se indica cada cuan-
1 sudo s u p e r v i s o r c t l r e s t a r t s n o r t to tiempo se haran inserciones en la base de datos centra-
lizada desde la spam honeypot.
1 s c h e d u l e r t i m e : 120
D. MySQL Server
Localdb: Ya que se va a utilizar una base de datos es
La arquitectura planteada consta de un servidor
importante tener esta opcion. Aunque se llame localdb es
MySQL donde se volcara la informacion relativa al Spam
la que permitira usar una base de datos, ya sea local o
capturado. Para que los datos sean introducidos en el ser-
remota.
vidor MySQL sera imprescindible crear las bases de datos
1 [ database ]
que necesita Shiva. Su creacion se puede realizar sin pro- 2 l o c a l d b : True
blemas gracias a dos scripts .sql que proporciona Shiva.
Host: En este campo se indicara la direccion de la base
1 mysql h HOST u USER password=PASSWD <
tempdb . s q l de datos MySQL
2 mysql h HOST u USER password=PASSWD < 1 h o s t : s h i v a mysql . euwest 1. r d s . amazonaws .
maindb . s q l com
Con esto se creara una base de datos temporal, en la User y password: Tambien se deben indicar las creden-
que almacenar de manera inmediata el spam, y otra base ciales a la base de datos.
de datos principal, en la que se introduciran datos desde 1 u s e r : userExample
la base de datos temporal. 2 password : 1234 Example
Tras introducirse datos en la base de datos temporal, El resto de opciones se podran dejar por defecto.
estos se comparan con los datos almacenados en la base Llegados a este punto solo quedara arrancar Shiva. En
de datos principal. Si hay datos nuevos se agregaran a la la primera ejecucion sera necesario arrancar exim, que per-
base de datos principal y si no son nuevos se actualizaran mite enviar el correo entrante:
los valores. 1 . / s e t u p e x i m 4 . sh
E. Shiva Tras esto se deben arrancar los componentes receiver y

analyzer de Shiva mediante:
La instalacion de Shiva no supone un proceso compli-
1 cd s h i v a R e c e i v e r /
cado. Existe un script llamado install.sh que permitira 2 source bin / a c t i v a t e
instalar los componentenes necesarios. Antes de ejecutar 3 cd r e c e i v e r /
este script es necesario instalar una serie de paquetes: 4 lamson s t a r t
5
1 aptg e t i n s t a l l y g i t pythondev exim4 6 cd s h i v a A n a l y z e r /
daemonl i g h t g++ pythonv i r t u a l e n v 7 source bin / a c t i v a t e
l i b m y s q l c l i e n t dev make l i b f f i dev 8 cd a n a l y z e r /
l i b f u z z y dev automake a u t o c o n f 9 lamson s t a r t
47
4
Para el proceso de arrancado es facil crear un script que Obtener los ataques detectados por Snort en las ultimas
automatice todo el proceso. X horas.
Llegados a este punto se tendra un servidor SMTP ope- 1 X.X.X.X/ a p i / f e e d /? a p i k e y=KEY&c h a n n e l=s n o r t .
rativo sin autenticacion que cada dos horas enva los datos a l e r t s&h o u r s a g o=X
capturados a una base de datos MySQL. Ataques contra una spam honeypot las ultimas X horas.
E.1 Bug Inodes en Shiva 1 X.X.X.X/ a p i / s e s s i o n /? a p i k e y=KEY&h o u r s a g o=X&
hostname=drogon
Se ha comprobado que debido al uso intensivo del ser-
vidor de correo el volumen de archivos generado en la car- Las respuestas que proporciona MHN son en formato
peta /queue/new de Shiva se dispara. JSON.
Este problema se materializa en la necesidad de limpiar 1 {
2 data : [
periodicamente esta carpeta ya que, aunque tengamos es- 3 {
pacio en disco, podemos llegar a quedarnos sin inodes. 4 i d : 55 b217db3018557366476ca9 ,
Situandonos en la ruta anteriormente mencionada po- 5 d e s t i n a t i o n i p : X.X.X.X ,
6 d e s t i n a t i o n p o r t : 25 ,
dremos eliminar los archivos de la cola mediante el coman- 7 honeypot : s n o r t ,
do: 8 i d e n t i f i e r : b6376a8c 308b11e5a1b5
04015 f 2 2 c 4 0 1 ,
1 f i n d . t y p e f p r i n t d e l e t e 9 p r o t o c o l : TCP ,
10 source ip : 111.243.57.232 ,
11 s o u r c e p o r t : 1915 ,
V. Consulta de los Datos 12 timestamp : 20150724T10
:47:53.978000
A. HoneyMap 13 },
MHN despliega un mapa donde es posible ver los ata- 14 }
ques. Gracias a esto se consigue tener una monitorizacion Tambien es posible consultar estos datos desde la inter-
en tiempo real de los ataques recibidos, ya que Snort esta faz web que proporciona MHN. Desde el panel web sera
monitorizando las conexiones. posible ver una enumeracion de los ataques y payloads
En nuestro caso el mapa es totalmente accesible desde mostrandose los pases de origen de los ataques y sus IPs,
http://46.101.24.221:3000/. los puertos utilizados para realizar el ataque o el patron
de ataque que se detecta a traves del IDS.
B. MySQL Server
La consulta de los datos podra realizarse desde cual- VI. Analisis de Datos Obtenidos
quier dispositivo con algun gestor para bases de datos, Tras la instalacion de los servidores se ha podido com-
como pueden ser MySQL Workbench, HeidiSQL o desde probar que, en un plazo menor a 48 horas de tener en fun-
consola, mediante autenticacion a la base de datos remota. cionamiento los mismos, se han empezado a enviar mensa-
En la base de datos temporal se almacenaran los datos jes de spam desde IPs provenientes de Taiwan. Este caso
relativos a: tan rapido se dio en un servidor y sorprendio que esta
Archivos adjuntos maquina se localizara tan rapido, sin haber sido detecta-
Enlaces del mensaje do por Shodan [11] en esos momentos.
Spam honeypot del que proceden los datos Sin embargo, si se piensa en las nuevas herramientas
La base de datos temporal tambien cuenta con una tabla que existen para el escaneo de puertos como Zmap [12]
con datos pertenecientes al spam detectado, con un identi- o Masscan [13], es factible encontrar rapidamente nuevos
ficador y el fuzzy hash (basado en ssdeep), que identificara servidores con puertos abiertos. Estos nuevos escaneres
el mensaje segun el contenido del mismo entre otros datos. pueden mandar 10 millones de paquetes por segundo, pu-
En la base de datos principal los datos que mas interes diendo escanear todo el rango de direcciones IPv4 en 5
suscitan para su estudio seran: minutos.
Archivos adjuntos Semanas despues las otras dos spam honeypots empeza-
Direcciones IP ron a ser usadas por los mismos Taiwaneses, lo que implica
Spam honeypot del que proceden los datos la constante monitorizacion de Internet por parte de este
Direcciones de correo de los destinatarios grupo, o al menos de servidores con el puerto 25 abierto.
Direccion de correo que enva estos correos Este grupo, tras comprobar que el servidor SMTP fun-
Mensaje enviado ciona, inicia agresivas campanas de spam teniendo como
objetivo cuentas de correo con dominio localizado en Tai-
C. MHN API wan en su mayor parte.
MHN mantiene una base de datos MongoDB donde se En un mes se han detectado 32.800.820 intentos de envo
almacenan los ataques detectados por Snort. Esta base de de spam. No todas las peticiones de envo de correo se
datos es accesible a traves de una API REST. envan finalmente con objeto de no saturar al servidor.
Se pueden hacer peticiones para saber las IPs que mas Se han enviado 34.797 correos, lo que supone un 010 %
han atacado en las ultimas X horas: del total.
1 X.X.X.X/ a p i / t o p a t t a c k e r s /? a p i k e y=KEY& El email mas enviado ha sido uno cuyo contenido es
h o u r s a g o=X codigo HTML con los hipervnculos mostrados en Fig. 3.
48
5
TABLA I
Dominios de correo a los que fue enviado Spam.
Dominio de Correo Cantidad

yahoo.com.tw 446537
163.com 5667
kimo.com 2265
sina.com 2183
hotmail.com 1878
sohu.com 1372
21cn.com 944
tom.com 929
163.net 840
126.com 501
263.net 445
eyou.com 434
ymail.com 393
sina.com.cn 272
yahoo.com.cn 200
yeah.net 130
Fig. 3. Mensaje de Spam mas enviado
vip.sina.com 126
yahoo.com.hk 113
263.com 68
Este mensaje se ha recibido 7.686.676 veces, siendo su
citiz.net 54
contenido enlaces a una tienda online de juguetes eroticos.
yahoo.com 54
Gracias al analisis recogido en el servidor con MHN se 163.com 54
han detectado en torno a 7.000 ataques al da. Desde el
rocketmail.com 42
primer momento en que la spam honeypot tiene acceso al
mail.china.com 40
exterior empieza a recibir multiples escaneos.
china.com.cn 38
21cn.net 29
A. Direcciones de Correo Donde el Spam se Dirige sina.com 27
Se han obtenido 466.637 direcciones de correo electroni- msn.com 27
co de 151 dominios de correo distintos. La mayora de di- inhe.net 25
recciones de correo pertenecen al dominio yahoo.com.tw, vip.163.com 24
representado el 957 % con 446.537 de ellas. Siendo el resto qq.com 21
solamente 20.100, lo que representa un 43 %. En la Tabla
I se pueden apreciar los dominios de correo utilizados, se
han omitido los dominios con menos de 20 apariciones. VII. Conclusiones
Se ha omitido el dominio yahoo.com.tw en Fig. 4 para Tras haber probado varias configuraciones y arquitectu-
poder mostrar el resto de resultados de forma mas repre- ras para el estudio de la captacion de Spam finalmente se
sentativa. llego a la solucion presentada en la investigacion por ser
la que mejor datos ha proporcionado.
Nuestra finalidad a la hora de realizar esta investiga-
cion era comprobar la viabilidad de usar servicios en la
nube para recolectar Spam. Esto ha demostrado ser po-
sible, lo cual ha llevado a desarrollar una metodologa y
arquitectura para llevarlo a cabo.
Ya que se siguen obteniendo datos, nuestra idea es am-
pliar la red y empezar a recolectar mas informacion. La
informacion presentada en este trabajo es muy limitada ya
que supone solo un mes de obtencion de informacion y so-
lamente 3 spam honeypots. La idea es ampliar el numero
de spam honeypots e incluir la aproximacion de la crea-
cion de cuentas de correo, dispuestas para recibir spam
y as tener un entorno mas completo en el que basar el
analisis.
Fig. 4. Dominios de correo con mas de 1000 ocurrencias A su vez, el analisis de los datos ha abierto un abani-
co de posibilidades de cara al futuro, pudiendose llegar a
49
6
utilizar este tipo de trampas para la obtencion de correos

electronicos y, en manos de algun ente malicioso, realizar
nuevas campanas de spam, phising o venta de direcciones
de correo electronico obtenidas.
Tambien se esta estudiando la posibilidad de publicar
las direcciones IP de los servidores en foros o webs. La
finalidad de esto sera aumentar el numero de correos re-
cibidos, atrayendo a atacantes distintos a los taiwaneses
que copan el uso de los servidores. Llegados a este punto
en el que se dispusiera de distintos atacantes se podran
utilizar listas grises para evitar usos abusivos de nuestros
servidores y filtrar los datos que resulten mas relevantes,
ya que los resultados obtenidos quedan desvirtuados a cau-
sa del uso abusivo de las campanas de Spam provenientes
de Taiwan.
Referencias
[1] Rahul Binjve (2015). Spam Honeypot with Intelligent Vir-
tual Analyzer (Shiva). Disponible en: https://github.com/
shiva-spampot/shiva
[2] Martin Roesch (2015). Snort NIDS. Disponible en: https://
www.snort.org/
[3] ThreatStream (2015). Modern Honey Network. Disponible en:
https://github.com/threatstream/mhn
[4] ThreatStream (2014). Snort hpfeeds, collector for shipping
snort alerts using hpfeeds. Disponible en: https://github.com/
threatstream/snort_hpfeeds
[5] Mark Schloesser (2015). Hpfeeds, Honeynet Project generic aut-
henticated datafeed protocol. Disponible en: https://github.
com/rep/hpfeeds
[6] Florian Weingarten(2013). Web application which visualizes a
live stream of GPS locations on a SVG world map. Disponible
en: https://github.com/fw42/honeymap
[7] Digital Ocean Guide (2014). How To Migrate
Droplets Using Snapshots. Disponible en: https:
//www.digitalocean.com/community/tutorials/
how-to-migrate-droplets-using-snapshots
[8] Amazon(n.d). Capa gratuita de Amazon RDS. Disponible en:
http://aws.amazon.com/es/rds/free/
[9] Digital Ocean Guide (2013). How To Protect SSH
With Two-Factor Authentication. Disponible en:
https://www.digitalocean.com/community/tutorials/
how-to-protect-ssh-with-two-factor-authentication
[10] Emerging Threats (2015). Snort Open Rules 2.9.0. Disponible
en: http://rules.emergingthreats.net/open/snort-2.9.0/
[11] John Matherly (2015). First search engine for Internet-
connected devices(Shodan) Disponible en: https://www.
shodan.io/
[12] University of Michigan (2015). Open-source network scanner
(Zmap) Disponible en: https://zmap.io/
[13] Robert David Graham (2015). MASSCAN: Mass IP port scan-
ner. Disponible en: https://github.com/robertdavidgraham/
masscan
50
JNIC2015 Cuarta sesion: Seguridad en redes
Security via Underwater Acoustic Networks:

the Concept and Results of the RACUN Project
Paolo Casari? , Joerg Kalwa, Michele Zorzi, Stefano Nasta, Sabrina Schreiber, Roald Otnes,
Paul van Walree, Michael Goetz, Arwid Komulainen, Bernt Nilsson, Jan Nilsson, Tommy Oberg,
Ivor Nissen, Henrik Strandberg, Henry Dol, Geert Leus, Francesco Pacini
? Corresponding author, email: paolo.casari@imdea.org
AbstractThis paper presents the European Defence Agency The RACUN project was funded by the national ministries
project Robust Acoustic Communications in Underwater Net- of defense of the participating nations as a key area of
works (RACUN), aimed at demonstrating underwater acoustic the European Defence Agency (EDA)s Unmanned Maritime
communications and networking for tactical and security-related
scenarios such as intelligence, mine counter-measures, and anti- Systems (UMS) program, which aims to deliver advanced
submarine warfare. The project involved communications among maritime mine counter-measures (MCM) and related tech-
static and mobile underwater nodes deployed at different depths, nologies by 2020. The partnership involved companies and
acoustic/radio gateways, as well as ships. We describe the research institutions from Germany, Italy, the Netherlands,
hardware employed in the project, outline the selected physical- Norway and Sweden. RACUN contributed to explore the
layer schemes and networking protocols, and present results from
the final RACUN sea trial. The RACUN project demonstrated theoretical background for the development and advance the
a working underwater network of heterogeneous nodes, both maturity level of robust underwater networking, especially
static and mobile, in typical tactical scenarios, and laid solid with respect to end-to-end communications. A survey of
foundations for the networking of underwater assets in Europe. existing physical layer (PHY) and networking technologies
Index TermsUnderwater acoustic networks; tactical mis- has been performed and related to the envisaged development
sions; channel soundings; channel simulations; modulation targets. A number of gaps between the project objectives
schemes; network protocols; network simulations; heterogeneous and the available technologies were identified and bridged
networks; sea trials; RACUN project; EDA. via a combination of theoretical studies, simulation studies,
and several sea trials. Suitable physical-layer methods and
I. T HE RACUN P ROJECT networking protocols have been developed and implemented
Many navies across Europe see effectively networked un- in programmable modems, which were integrated into AUVs,
derwater communications as an enabling technology to make gateway buoys, and bottom/moored nodes.
progress in security-related and tactical scenarios encompass- Simulation proved to be an invaluable tool to reduce the
ing at-sea environments. The RACUN project answers this number of sea trials required when developing new sys-
need via the design of rapidly deployable underwater networks tems [1], [2]. Candidate PHY methods, network protocols and
of autonomous sensors and underwater vehicles (AUVs). A combinations thereof have been thoroughly evaluated thanks to
consortium of partners from five European nations developed acoustic channel models aided by channel measurements taken
and demonstrated the capability to establish a robust underwa- during the first RACUN sea trial campaign in diverse European
ter multi-purpose acoustic network with moving and stationary coastal waters (Sea Trial 1), and by a discrete-event simulation
nodes, as well as its operational value in tactical scenarios. package fed with statistical representations of physical-layer
performance. An intermediate sea trial campaign in the Nether-
Paolo Casari (corresponding author) is with IMDEA Networks Institute, lands coastal waters (North Sea; Sea Trial 2) with an integrated
Spain, and with Consorzio Futuro in Ricerca (CFR), Italy. Joerg Kalwa is system was used to test and confirm the work done in the
with ATLAS Elektronik (ATLAS), Germany. Michele Zorzi is with CFR,
Italy. Stefano Nasta is with Centro di Supporto e Sperimentazione Navale project up to that time, and provided experience to improve
(CSSN), Italy. Sabrina Schreiber is with L-3 Communications ELAC Nautik the system further. In a final sea trial in Italian coastal waters
(ELAC), Germany, Roald Otnes and Paul van Walree are with the Norwegian (Mediterranean Sea; Sea Trial 3), the full RACUN system has
Defence Research Establishment (FFI). Michael Goetz is with Fraunhofer
Institute for Communication Information Processing and Ergonomics (FKIE). been demonstrated and evaluated against criteria defined early
Arwid Komulainen, Bernt Nilsson, Jan Nilsson and Tommy Oberg are with in the project.
the Swedish Defence Research Agency (FOI). Ivor Nissen is with the German The project was organized through five workpackages
Research Department for Underwater Acoustics and Marine Geophysics
(WTD71/FWG) Henrik Strandberg is with Saab Dynamics (SAAB). Henry (WPs) and many sea trial preparation camps. Different partners
Dol is with the Netherlands Organization for Applied Scientific Research focused on different aspects of the physical, network (NET)
(TNO). Geert Leus is with the Delft University of Technology (TUD). and application (APP) layers. Most of the PHY and APP
Francesco Pacini is with Whitehead Sistemi Subacquei (WASS).
The work described in this publication was done under a multi-national software was integrated into the wet end of the modems.
four-year project with the name Robust Acoustic Communications in Un- Additional flexibility was provided for the NET layer, which
derwater Networks (RACUN) under the EDA Project Arrangement No. B- could be run as a stand-alone piece of software, or by
0386-ESM1-GC. The authors are indebted with all collaborators from all
participating institutions whose work and dedication made the RACUN project reusing simulation code written for the ns2 software and the
a success. The co-authors are sorted by their affiliation (short names). DESERT Underwater framework [3], via a hardware-in-the-
51
Figure 1. The hardware employed in the RACUN projects Sea Trial 3 (ST3). (a) NILUS nodes (FFI, Norway); (b) gateway buoy (ELAC, Germany); (c)
moored nodes (SAAB, Sweden); (d) SeaCat AUV (ATLAS, Germany); and (e) NEREUS node (FWG, Germany).
loop configuration. A new Generic UnderWater Application HAM.Base [5]. The HAM.Base is a low-energy underwater
Language (GUWAL) [4] was applied to support the creation modem that can be exploited in commercial applications or
and execution of relevant underwater applications via data reprogrammed to support scientific research. The architecture
requests, data replies, command and control and text mes- makes it possible to also run stand-alone C code implementing
saging functions. Finally, a methodology for simulation and other functionalities, e.g., the networking (NET) and error
experiment analysis was developed to evaluate results and control (EC) layers, and was designed to be installed in
measure the robustness of the network. Overall, the RACUN underwater nodes of limited size. This made it possible to
project developed and successfully demonstrated several new equip Develogic modems in all RACUN nodes, except the
physical-layer schemes and ad hoc network protocols running SAAB nodes (see Section II-B), which included a different
on heterogeneous hardware platforms, and employed such software-defined modem.
assets to carry out operations in intelligence, surveillance, and
reconnaissance (ISR) as well as MCM scenarios of tactical
B. SAAB modem and node
relevance.
In the remainder of this paper, we will outline the ma- The SAAB modem design approach aimed at providing
jor components of RACUN: the hardware (Section II), the research project partners and national research establishments
physical-layer schemes (Section III), and the network pro- with a (generic) reconfigurable platform, as opposed to com-
tocols (Section IV). Section V summarizes results from mercial modems which are usually not available for firmware
RACUNs final demonstration sea trial, and Section VI draws customization and (embedded) reprogramming. A founding
our conclusions. principle of the SAAB modem is the lack of processing in
the wet-end unit: processing is delegated to a PC unit in
II. AVAILABLE H ARDWARE AND ACOUSTIC M ODEMS the dry-end part, which communicates with the wet end via
a cable comprising Ethernet data and power links. The PC
We start by describing the design and functionalities pro-
unit carries out all signal processing phases. All software
vided by the main hardware employed in the RACUN project
components run in the SAAB software-defined framework.
(see Fig. 1). Given the scope and objectives of the RACUN
The wet end contains electronics and modules for performing
project, the chosen communications band is 48 kHz.
analog/digital/analog conversions. During the RACUN sea
trials, the SAAB modem was deployed on two moored nodes
A. Develogic modem and one ship node. For the moored node configuration, a
Acoustic communications in RACUN were mainly delivered battery/PC buoy was developed. A real-time reconfiguration
by the software-defined Develogic Hydro-Acoustic Modem capability via a separate acoustic signaling channel was im-
52
plemented to avoid recovering and redeploying the nodes to RACUN sea trial (see also Section V). The other schemes
change physical-layer schemes and networking protocols. (Section III-B and Section III-C) could be incorporated only in
the more versatile architecture of the SAAB modems, limiting
C. NILUS and NEREUS bottom nodes the maximum network size to three nodes when using these
schemes, due to hardware availability reasons.
Networked InteLligent Underwater Sensors (NILUS) is a
demonstrator system developed by FFI prior to RACUN, for
the concept of easily deployable underwater sensor networks. A. Filtered Multi-Tone (FMT)
A NILUS bottom node contains, among other things, passive A multi-carrier format named Filtered Multi-Tone (FMT)
acoustic and magnetic sensors, onboard signal processing was designed by WTD71/FWG as a part of the Transient
on an embedded Linux computer, and an acoustic modem. UnderWater Communication System (TUWACS) project [6],
For RACUN, two NILUS nodes were fitted with Develogic and adapted to the requirements of RACUN. The main idea
modems and an extra Gumstix processor board to run addi- behind FMT is to transmit only one symbol, so that the scheme
tional networking software. Two other NILUS nodes were used becomes robust to inter-symbol-interference. In RACUN, 128
only to record acoustic data. bits per symbol were transmitted. The real-time detection of
Four NEREUS (NEtworked REconfigurable Underwater FMT symbols is achieved via two subsequent synchronization
Sensor) bottom nodes, with similar functionality as the steps and iterative turbo decoding of both pilots and data [7].
NILUS, were provided by WTD71/FWG. One difference from During the RACUN sea trials, FMT was implemented in the
NILUS is that NEREUS uses an embedded Windows com- hardware of all nodes and achieved a data rate of 340 bps.
puter, which could only run network protocols as standalone
applications. WTD71/FWG also provided one Develogic Bot-
tomLander bottom node, which for RACUN was fit with the B. Single-Carrier Turbo Equalization (SCTE)
same Gumstix processor board as NILUS and could hence run FOI designed a single-carrier modulation scheme, stemming
network protocols either standalone or under ns2/DESERT. from the need to exploit the rich multipath of the underwater
channel without feedback from the receiver and employing
D. Atlas SeaCat AUV turbo equalization to compensate for signal distortions [8].
Training sequences are used to obtain estimates of the channel
Atlas Elektronik provided the AUV SeaCat to represent a impulse response. The main Doppler shift is eliminated via
mobile node. The SeaCat is a system capable of carrying a resampling. After that, the channel estimate is completed with
variety of payloads in a fully flooded nose section. A compact additional details using the decoded symbols as reference. In
NetDCU9 processor board had been integrated to host the RACUN, a 4-QAM format was employed at a data rate of
networking software and application layer. The latter was 1.4 kbps, reduced to 624 bps due to limitations in the RACUN
responsible to work as an interface between the communi- bitstream format.
cation systems and the AUVs capabilities, which included
an automatic detection of objects and reactive behavior to
commands issued through the underwater network. C. OFDMR
TNO and TUD contributed two modulations to the RACUN
E. ELAC gateway buoy project, a wideband single-carrier modulation scheme employ-
L-3 Communications ELAC Nautik provided a smart gate- ing a multi-scale multi-lag (MSML) method with adaptive
way buoy as a node in the underwater network. The general turbo-equalization [9], and a multiband OFDM method [10],
mechanical and electrical structure of the buoy were developed adapted to RACUNs higher data-rate requirements via a dif-
by AquaDrohne and extended with control and communication ferent turbo-coding algorithm. During the RACUN sea trials,
equipment by ELAC. The buoy supported a through-air radio two configurations of the resulting OFDMR method (where the
link as well as an underwater acoustic communication link, R stands for RACUN) were used for two different message
and could therefore establish a gateway between the two lengths and data rates, namely OFDMR1 (256 bits, 205 bps)
communications mediums. Among other things, this enabled and OFDMR2 (128 bits, 120 bps).
commands and reports to be sent to and from ship computers,
across the air/water interface. The developed RACUN network D. Structure of channel sounding and benchmarking opera-
protocols and the buoy-specific RACUN application software tions
(based on the GUWAL specifications) were implemented on A comprehensive set of physical-layer simulations was
the controller board of the buoy. carried out based on in-situ channel measurements. At an early
stage of the project (Sea Trial 1), the time-varying impulse
III. P HYSICAL LAYERS AND BENCHMARK response was measured at relevant locations and for various
Several modulation schemes have been designed in ranges. These measurements have been collected in a channel
RACUN. Given the different development stages, only one of archive that reveals a formidable diversity of propagation
the methods summarized below (FMT, Section III-A) could be conditions [11]. A channel-replay simulator [12], driven by
incorporated in both the Develogic and the SAAB modems, the archived channels, was used to benchmark the RACUN
and thereby be employed over a full-sized network in the final modulation schemes. Replay is a realistic, ultra-wideband
53
Figure 2. PER lookup tables for FMT, SCTE and OFDMR2. (top pane) Relationship between PER and noise. (bottom panes) Checkerboards reporting PER
in case of collisions, as a function of the signal-to-interference ratio (SIR) and of the overlap between the desired and colliding packets.
channel simulation technique that includes all signal distor- A. GUWMANET

tions introduced by the waveguide. The benchmark results FKIE, in cooperation with WTD71/FWG, developed a new
were compiled as lookup tables (LUTs) containing packet underwater ad hoc network protocol named Gossiping in
error rate (PER) estimates as a function of signal-to-noise ratio UnderWater Mobile Ad-hoc NETworks (GUWMANET) [13],
(SNR), for all available modulation schemes and channels. which was brought into the RACUN project as a reference pro-
Fig. 2 (top pane) illustrates the LUT for FMT, SCTE and tocol for simulations and at-sea experiments. GUWMANET
OFDMR2 signals. The PER is plotted as a function of SNR, is designed using a cross-layer approach in combination with
for a channel measured over 3 nautical miles (nmi) in the GUWAL [4]. Basically, GUWAL packets have a fixed length
Gulf of La Spezia. The LUTs used in the network simulations of 128 bits including a header with an operational source and
consist of such data for a variety of measured distances. One destination address and a checksum as parity check. These
important difference between the curves in Fig. 2 (top pane) fields are exploited by GUWMANET for routing purposes,
is that the PER of SCTE and OFDMR2 does not drop to zero reducing the additional network overhead to a minimum of 10
at high SNR for this channel. This is frequently observed in bits, consisting of a source and last hop identifiers of 5 bits
underwater acoustic communications, where the performance each. In this way, it is possible to pack routing information
of modulation schemes may be limited by multipath and into a single FMT transmission, which reduces network traffic,
Doppler effects, rather than noise. packet error rate and collision probability. GUWMANET
Simulations were also performed to assess the impact of builds up routes autonomously via a learning process. In the
collisions, which occur when two modem signals overlap beginning, nodes use a simple flooding strategy to reach the
at a receiving modem. LUTs were compiled with the PER destination, which replies with an acknowledgement. This
as a function of the signal-to-interference ratio (SIR) and message is routed back through the same relays employed
the degree of overlap. Fig. 2 (bottom panes) illustrates the on the way to the destination, confirming the presence of a
collision LUT for FMT, SCTE and OFDMR2, where it is valid route and creating persistent routing entries at interme-
shown, for example, that SCTE is slightly more robust to lower diate relays. Retransmissions were introduced to increase the
values of the SIR than FMT, but fails the correct reception of a robustness of the protocol. Sea experiments and simulations
signal for a broader range of overlap ratios. Similar arguments showed that three repetitions are suitable in environments with
apply to OFDMR2, which however presents a slightly lower high packet error rates. GUWMANET was implemented both
PER for SIR values between 10 and 0 dB, for an overlap up as a stand-alone code and as an ns2 module.
to 50%.
IV. N ETWORK P ROTOCOLS AND S IMULATIONS B. Dflood
This section presents the network protocols finally employed Dflood [12] is a flooding-based protocol, which tries to
in RACUN, and briefly discusses the network simulation setup reduce the number of duplicate transmissions of a typical
and results. flooding scheme without compromising its robustness. This is
54
Figure 3. Connectivity map used in pre-trial simulations for the final RACUN demonstration trial (left), and example of connectivity map actually experienced
during the trial (right), where asymmetric links are indicated by one line for each direction between two nodes. The thickness and shade of each link are
proportional to its robustness. For an explanation of the node names, refer to Fig. 4.
achieved by exploiting information that the nodes get from candidates for sea trial testing, with GUWMANET achiev-
overhearing other nodes transmissions. In Dflood, a hop ing better performance in particular when the FMT physical
counter is included in the packet header [14]. A node will layer was used. This was partly because GUWMANET was
refrain from forwarding a packet if enough duplicates of that designed for FMT and could send each 128-bit packet as
packet are received with a higher hop count. Forwarding is one FMT burst. Conversely, to get room for the required
also stopped by a neighbor of the destination if it receives a header information, Dflood had to send each packet as two
Receive notification from the destination. Dflood employs FMT bursts with some seconds of silence in between. With
a CSMA MAC protocol. Each node applies a tunable back- other physical layers, such fragmentation was not required for
off time before forwarding a copy of an incoming packet. Dflood and the performance of Dflood and GUWMANET was
This back-off time is adaptively increased each time the closer, except that GUWMANET showed better scalability
node overhears a copy of the same packet. The predefined with increasing network size.
maximum number of duplicates that need to be heard before Prior to the final RACUN sea trial (Sea Trial 3, ST3),
the forwarding is cancelled can also be tuned. In the basic network simulations were performed using the planned geo-
version of the Dflood protocol, no topology information is metrical layout. Lookup tables based on measurements in the
used, no additional control traffic is required besides the same environment two years before resulted in a connectivity
Receive notification, and nodes forward a packet only once. map as shown in Fig. 3 (left), in which simulated end-to-
Retransmissions can be configured for robustness by schedul- end (E2E) packet delivery ratios close to 100% could be
ing the transmission of a copy of a packet packet after some achieved with both GUWMANET and Dflood when the traffic
delay. In large networks, topology information is delivered via load was moderate. However, the link performances actually
sink probes which help understand how many hops every node experienced in the final trial were much worse even though the
and its nearest neighbors are from the sink. This mechanism distances were shorter than in simulations, as shown in Fig. 3
helps reduce unnecessary retransmissions. (right), where the discrepancy is mostly due to the empirical
In simulations, both regular Dflood, regular Dflood with SNR modelling.
retransmissions, and Dflood with sink packets were tested. In
the sea trials, where the number of nodes was relatively small, V. S EA T RIAL 3: D EMONSTRATION D ETAILS AND
regular Dflood with one retransmission was employed. R ESULTS
The RACUN projects final sea trial (ST3) took place
in May 2014 and had the objective to demonstrate real-
C. Simulation software structure time capabilities of the network to manage ISR and MCM
Since sea trials are expensive and prone to mishaps and poor scenarios at sea, to test specific network features, and to
reproducibility, simulations were extensively used in RACUN collect experimental data for understanding the performance
to compare different protocols and decide what to use in sea of physical-layer schemes and network protocols.
trials [2]. For network simulations, ns2 with the MIRACLE
and DESERT extensions [3] was applied. RACUN applied the A. Experiment area, support assets and deployment setup
LUT-based physical-layer model described in Section III-D, The Italian Navy (ITN) selected a trial area near the Italian
where the LUTs contain PER in real-world environments coast of approx. 1010 nmi2 , with minimum water depth
vs. SNR, range, and interference. Extensive network simu- 20 m, close to the Italian Naval Base of La Spezia. The nodes
lations using scenarios defined at the beginning of RACUN were deployed in the area shown in Fig. 4. The inter-node
indicated that both Dflood and GUWMANET were viable distances are in the range of 563 m to 8610 m.
55
Figure 4. The RACUN ST3 area, off La Spezia, Italy (left); zoom on the deployment area, with deployment locations (right). In the node names, the first
letter represents the nation providing the hardware (G = Germany, N = Norway, S = Sweden), the second letter the node type (B = Bottom node, G = Gateway
buoy, S = ship node, R = passive recorder, W = Waverider buoy), whereas the number is a unique identifier.
The network was composed of: 2 NILUS bottom nodes plus up to 5 nmi; mobile nodes cruising at up to 8 knots; all-
2 NILUS passive recording stations; 2 moored nodes plus 1 weather operational conditions. The main data packet class
ship node from SAAB; up to 5 NEREUS bottom nodes plus employed in ST3 contains 128 bits, which must be delivered
1 ship node; 1 gateway buoy from ELAC; 1 SeaCat AUV with a success rate of 90% within a maximum E2E delay
from ATLAS plus additional equipment such as 1 Waverider of 5 minutes. These constraints reflect the importance of the
buoy in the second week. Typically, the bottom nodes were information conveyed by the packets, and accommodate some
left at sea during the night, while the other network elements time for retransmissions if required.
were deployed and recovered every day. The network was In ST3, the capabilities of the underwater network were
configured to operate one of the PHY/network protocol pairs demonstrated via the reproduction of ISR and MCM scenarios.
FMT/GUWMANET or FMT/Dflood. The ATLAS AUV was used as a mobile communication node;
After one week of tests, the demonstration of ISR and in the ISR scenario, the AUV took over the role of an intruder
MCM scenarios was successfully carried out (albeit only that crossed the network and induced detection reports to be
once because of bad weather conditions). A first conclusion sent by the bottom nodes and forwarded to the ships; during
is that the physical-layer performance experienced in ST3 the MCM scenario, the AUV was used as mine hunter using its
was inferior to that predicted by the lookup tables based side-scan sonar. Both scenarios were repeated with both the
on measurements in the same area two years earlier. Given GUWMANET and the Dflood network protocols to collect
environmental measurements, it seemed likely that the main comparable results for the final evaluation. At the beginning
reasons for the discrepancy may be unfavorable sound-speed of each scenario, the network was initialized with a GUWAL
profiles, ship/buoy/AUV movement (due to waves), and poorer message followed by a broadcast status request, both sent
SNR compared to that predicted by empirical modeling. Fu- by one of the ships. After this, the AUV was commanded
ture endeavors will consider more complex empirical models, to start its mission, depending on the respective scenario.
which take water depth and bottom type as additional inputs. During these missions, events like intruder or mine detections
were collected at the ship. Additionally, the bottom nodes
B. Description of ST3 ISR / MCM scenario and experiments sent out periodic status messages and the AUV communicated
The Ministries of Defense of the countries participating its position roughly every five minutes. After one hour, the
to RACUN set network performance requirements tied to mission was completed and the AUV surfaced back.
specific environments and tactical scenarios. Littoral waters The configuration and results related to the tactical ISR
of different kinds were specifically considered, with depths up and MCM scenario demonstrations are summarized in Table I.
to 200 m, offering challenging propagationtions for acoustic The results confirm that both scenarios could be successfully
signals across almost the whole year. Also according to the demonstrated to the ST3 observers and national defense rep-
Navy requirements, the networks should be composed of static resentatives with both the GUWMANET and Dflood network
and/or mobile nodes on the bottom, at the surface, and in protocols, despite the often adverse sea trial conditions that
the water volume, cooperating to detect, classify and collect even led to some equipment damage. The network operated in
information. A gateway buoy should be included to extend a fully ad hoc manner without predefined routes, and encom-
the communication over larger distances through the air. The passed static, mobile as well as surface nodes. GUWMANET
network should exhibit a desired level of effectiveness in achieved a packet delivery ratio (PDR) of about 90% and
all weather conditions. The operational definition of the test Dflood of about 70% with an average E2E delay well below 5
scenario implies: a 1010 nmi2 area; intra node distance minutes, albeit at an average intra-node distance below 5 nmi.
56
TABLE I
C ONFIGURATION AND RESULTS OBTAINED FOR THE ISR AND MCM SCENARIOS AT RACUN S FINAL DEMONSTRATION DURING S EA T RIAL 3 (ST3).
Configuration
ISR scenario MCM scenario
Protocol GUWMANET Dflood GUWMANET Dflood

Bottom nodes 6 4 6 4
Ship nodes 2 2 2 2
1 (damaged
AUV 1 (surfaced) N/A N/A
during the test)
1 (damaged during
Gateway buoy 1 N/A N/A
the recovery)
Sea state 3 34 12 2
Intra node distances 563 m 8610 m

Depth 40 m 80 m
Protocol running time 90 minutes
Results
Energy consumption
Scenario Number of nodes PDR E2E Delay
per node
ISR GUWMANET
11 89.24% 81.92 s 17.43 J
14/05/2014 (8:30-10:00)
ISR Dflood
9 68.15% 121.06 s 20.79 J
14/05/2014 (10:30-12:00)
MCM GUWMANET
9 90.32% 58.21 s 13.72 J
15.05.2014 (10:30-12:00)
MCM Dflood
7 70.18% 107.34 s 29.79 J
15.05.2014 (8:30-10:00)
The main reason for the higher PDR of GUWMANET is of many communication schemes used in medium-to-long
the lower network overhead, which allowed the transmission range communications; the setup of an ad hoc underwater
of a packet within a single FMT burst, whereas Dflood had network encompassing very heterogeneous assets, including
to resort to fragmentation. The lower PDR that resulted was mobile nodes; the ability to reuse network simulation software
compensated for via retransmissions, which explain the larger directly in sea trials; the demonstration of the feasibility of
E2E delay of Dflood compared to GUWMANET. Table I also the RACUN communications and networking technologies in
includes per-node energy consumption figures, which are also tactical scenarios; a thorough scoring system to rank heteroge-
higher for Dflood due to the same fragmentation and retrans- neous communications and networking solutions on a common
mission issues. Notably, the results above are in line with basis with respect to the requirements of the Navies.
those obtained from the simulations [2], and thereby prove Finally, the involvement of the RACUN management board
the feasibility and accuracy of the full-rounded simulation in guidelines that could be traced back to national interests
approach followed in RACUN. of the respective nations ensured that the project transferred
scientific results into requirements and mission goals agreed
VI. S UMMARY OF ACHIEVEMENTS AND C ONCLUSIONS by national authorities. Therefore, the results of the project
Security is of primal importance in tactical scenarios at form a solid foundation to build upon in order to develop the
sea, and effectively networked underwater communications are future capabilities of European navies.
seen as the enabling technology to achieve the next generation
of autonomous tactical systems off shore. In this paper, we
summarized the workflow, context and achievements of the R EFERENCES
European Defence Agencys Robust Acoustic Communica- [1] R. Otnes and P. van Walree, Validation of replay-based underwater
tions in Underwater Networks (RACUN) project, which was acoustic communication channel simulation, IEEE J. Ocean. Eng.,
able to demonstrate a working ad hoc underwater network vol. 38, no. 4, pp. 689700, Oct. 2013.
[2] C. Tapparello, P. Casari, G. Toso, I. Calabrese, R. Otnes, P. van
of static and mobile nodes in typical tactical scenarios. This Walree, M. Goetz, I. Nissen, and M. Zorzi, Performance evaluation of
was achieved with the diverse hardware and equipment that forwarding protocols for the RACUN network, in Proc. ACM WUWNet,
was made available to (or adapted for) the RACUN project, Kaohsiung, Taiwan, Nov. 2013.
resulting in a heterogeneous network. [3] P. Casari et al., Open-source suites for the underwater networking com-
munity: WOSS and DESERT Underwater, IEEE Network, special issue
The main technical and scientific results of RACUN in- on Open Source for Networking: Development and Experimentation,
clude: a fully developed workflow for the characterization vol. 28, no. 5, pp. 3846, Sep. 2014.
of underwater acoustic communications and networks, from [4] I. Nissen and M. Goetz, Generic underwater application language
(GUWAL) specification of tactical instant messaging in underwa-
channel soundings and characterization to the modeling of ter networks, WTD71/FWG, Kiel, Germany, Tech. Rep. WTD71-
complex network protocols; the development and advancement 0070/2012 FR, Dec. 2012.
57
[5] F. Berning, T. Radtke, S. Rautenberg, M. Motz, and I. Nissen, A [10] G. Leus and P. van Walree, Multiband OFDM for covert acoustic
realization of the software defined radio concept in an underwater communications, IEEE J. Sel. Areas Commun., vol. 26, no. 9, pp. 1662
communication modem, in Proc. UCOMMS, Sestri Levante, Italy, Sep. 1673, Dec. 2008.
2014. [11] P. van Walree, Propagation and scattering effects in underwater acoustic
[6] I. Nissen, Alternativer ansatz zur verratsarmen unterwasserkommu- communication channels, IEEE J. Ocean. Eng., vol. 38, no. 4, pp. 614
nikation durch verwendung eines transienten im kontext von IFS und 631, Oct. 2013.
JUWEL, WTD71/FWG, Kiel, Germany, Tech. Rep., Jan. 2009. [12] R. Otnes, P. van Walree, H. Buen, and H. Song, Underwater acoustic
[7] , A new and simple blind channel CSI cancellation calculus, in network simulation with lookup tables from physical-layer replay, IEEE
Proc. DAGA2011/174, Dusseldorf, Germany, 2011. J. Ocean. Eng., 2015, accepted.
[8] I. Karasalo, T. Oberg, B. Nilsson, and S. Ivansson, Validation of replay- [13] M. Goetz and I. Nissen, GUWMANET multicast routing in under-
based underwater acoustic communication channel simulation, IEEE J. water acoustic networks, in Proc. MCC, Gdansk, Poland, Oct. 2012.
Ocean. Eng., vol. 38, no. 4, pp. 666677, Oct. 2013. [14] R. Otnes and S. Haavik, Duplicate reduction with adaptive backoff
[9] L. Cannelli, G. Leus, H. Dol, and P. van Walree, Adaptive turbo equal- for a flooding-based underwater network protocol, in Proc. MTS/IEEE
ization for underwater acoustic communication, in Proc. MTS/IEEE OCEANS, Bergen, Norway, Jun. 2013.
OCEANS, Bergen, Norway, Jun. 2013.
58
1
Sistema visual de monitorizacion de seguridad de

flujos de red industriales
Mikel Iturbe, Inaki Garitano, Urko Zurutuza, Roberto Uribeetxeberria
Dpto. de Electronica e Informatica
Escuela Politecnica Superior
Mondragon Unibertsitatea
Email: {miturbe, igaritano, uzurutuza, ruribeetxeberria}@mondragon.edu
Resumen Los sistemas de control industrial son el con- gar a tener un ataque exitoso, desde perdidas economicas,
junto de elementos especializados que monitorizan y con- a danos medioambientales o incluso perdida de vidas hu-
trolan procesos fsicos. Estos sistemas estan generalmente
interconectados en entornos conocidos como redes indus- manas [4]. El avance reciente de las Amenazas Persistentes
triales. Las particularidades de este tipo de redes desacon- Avanzadas (APTs por sus siglas en ingles) como Stuxnet
seja el uso de herramientas de seguridad utilizadas en re- [5], Night Dragon [6] o Havex [7] que tienen como objetivo
des tradicionales de computadoras, mientras que a la vez
permiten la utilizacion de estrategias de seguridad no ex-
las redes industriales, bien para sabotearlas o para el robo
trapolables a redes de computadoras. El uso de listas blan- de de informacion, hace aun mas necesaria la proteccion
cas ha sido probado como un enfoque valido para asegurar de estos sistemas.
redes industriales. En este artculo presentamos un sis- Aunque las redes industriales y las redes de ordenadores
tema visual de monitorizacion y deteccion de anomalas de
flujo que utiliza listas blancas y diagramas de cuerdas para tradicionales comparten tecnologas en gran medida, la
mostrar el estado de la red. Por ultimo se utilizan datos distinta naturaleza de las redes requiere que las soluciones
de una red industrial real para probar la efectividad del de seguridad que se aplican en una u otra tengan que ser
sistema.
disenadas para adecuarse al tipo de red. Las diferencias
entre los dos tipos de red y el impacto que ello supone a la
I. Introduccion hora de disenar soluciones de seguridad es analizado por
Cheminod et al [8].
Los Sistemas de Control Industrial (SCIs) son el con-
Cuando se comparan las redes industriales con redes
junto de elementos especializados que monitorizan y con-
tradicionales de ordenadores, se puede apreciar que la
trolan procesos fsicos [1]. Como tal, son los responsables
topologa de de la red industrial es estatica, a la vez que
de controlar y automatizar una gran variedad de procesos,
el trafico de red cuenta con unos patrones de compor-
tanto en diferentes sectores industriales o en Infraestruc-
tamiento muy definidos ya que la mayora del trafico de
turas Crticas (ICs) [2], generalmente en entornos conec-
red lo crean procesos automaticos [8], [9].
tados conocidos como redes industriales. El Consejo de la
Teniendo en cuenta estos rasgos de las redes industri-
Union Europea [3] define los ICs como el elemento, sis-
ales, se puede hacer uso de ellas para disenar soluciones de
tema o parte de este (. . . ) que es esencial para el manten-
seguridad, que aunque validas para las redes industriales,
imiento de funciones sociales vitales, la salud, la integridad
podran no ser eficientes en otros tipos de red. Especifi-
fsica, la seguridad, y el bienestar social y economico de
camente, la practica del whitelisting o listas blancas1 ha
la poblacion y cuya perturbacion o destruccion afectara
sido defendido por la industria como un metodo efectivo
gravemente a un Estado miembro al no poder mantener
de asegurar redes industriales [2], [10], hecho que fue de-
esas funciones;. Ejemplos de infraestructuras crticas in-
mostrado por Barbosa et al. [9].
cluyen la generacion y transporte de energa, el suministro
de agua, sistemas de transporte o plantas de fabricacion
A. Contribucion y organizacion del artculo
crticas.
Tradicionalmente, las redes industriales han formado En este artculo proponemos un sistema novedoso de
entornos aislados, con protocolos de red, software y hard- monitorizacion visual de redes industriales a gran escala
ware propietarios. Sin embargo, los SCIs han ido evolu- para monitorizar flujos de red y detectar anomalas rela-
cionando hacia la utilizacion de sistemas de software y red cionadas. Para ello nos valemos de listas blancas y diagra-
estandares, y hoy en da las redes industriales comparten mas de cuerdas. Nuestra principal contribucion consiste
importantes similitudes con redes de computadoras tradi- en la creacion de listas blancas temporales y la utilizacion
cionales y estan cada vez mas conectadas a ellas. Esto de diagramas de cuerdas para la visualizacion de flujos
significa que el aislamiento tradicional en el cual las redes de red industriales y sus anomalas. En consecuencia,
industriales se han basado para su proteccion ya no es tal; este artculo pretende cubrir el vaco actual en sistemas
las redes industriales no estan tan aisladas. Por ello, la de monitorizacion para la seguridad visuales en redes in-
superficie de ataque a estas redes ha aumentado. 1 Es la practica de registrar una serie de flujos de red permitidos
Los incidentes de seguridad relacionados con redes in- y no permitir ninguna otra conexion o notificar mediante una alerta
dustriales han mostrado el gran impacto que puede lle- cuando se produce una conexion no permitida
59
2
dustriales. deteccion de anomalas y su rendimiento.

El resto del artculo esta organizado de la siguiente El trabajo de Layton et al. [16] representa las relaciones
manera: la seccion II presenta diferentes detectores de entre grupos de paginas webs de phishing mediante dia-
anomalas que utilizan informacion de flujo, junto con una gramas de cuerdas.
introduccion a los diagramas de cuerdas y su uso en el OCEANS [17] utiliza diagramas de cuerdas para repre-
campo de la seguridad de redes. La seccion III analiza la sentar flujos de redes entre diferentes subredes. Sin em-
estructura del sistema de monitorizacion, as como su fun- bargo, es una solucion orientada a redes tradicionales de
cionamiento. La seccion IV muestra las pruebas realizadas ordenadores y se limita a mostrar los flujos de red exis-
al sistema con datos de trafico industrial real. Por ultimo, tentes, pero sin mostrar la informacion de flujos de hosts
la seccion V extrae unas conclusiones finales e identifica individuales ni resaltar las anomalas.
unas posibles vas de trabajo futuro. De momento, no hay ejemplos de sistema de visual-
izacion de flujos orientado a la seguridad para redes indus-
II. Trabajos relacionados triales, menos aun utilizando diagramas de cuerdas. Sin
A. Deteccion de anomalas de flujo en redes industriales embargo, se estan haciendo varios avances para mejorar
Barbosa et al. [9] demostraron que el uso de listas la monitorizacion visual de procesos industriales [18].
blancas es un metodo efectivo para detectar anomalas III. Descripcion del sistema
de flujo en redes industriales. Ha habido diferentes sis-
temas de deteccion de intrusiones para redes industriales La figura 1 muestra el flujo de trabajo del sistema de
que se han valido de informacion de flujo para detectar monitorizacion y visualizacion presentado.
anomalas: Garitano et al. [11] utilizan la informacion En primer lugar, dispositivos de red con capacidad de
de flujo contenida en forma de reglas de Snort para aler- registrar flujos de red envan paquetes con la informacion
tar sobre conexiones anomalas. Hoeve [12] extrae la inde flujo a un recolector de flujos que almacena luego
formacion de flujo de red y sus patrones, para detectar estos en un servidor de flujos. El envo se puede realizar
anomalas que quedan fuera de los patrones en trafico de desde diferentes redes industriales, permitiendo la moni-
control cifrado. SPEAR [13] utiliza la informacion de la torizacion central de las redes industriales.
topologa de red e informacion de flujo introducida a mano Una vez empezada la recoleccion de flujos, mediante
para detectar anomalas de flujo mediante la creacion de una consulta al servidor de flujos se crea las polticas de
reglas para Snort. whitelisitng con los primeros flujos recogidos de la red. A
Sin embargo, ninguna de las propuestas senaladas pre- esta fase la hemos llamado la fase de aprendizaje. Una
senta los resultados de la deteccion ni el estado de la red vez que las polticas se han creado y se siguen registrando
de manera visual. nuevos flujos de red, se realizan consultas adicionales al
servidor de flujos para obtener los ultimos resultados y
B. Diagramas de cuerdas luego los compara con las polticas establecidas en las lis-
Los diagramas de cuerdas, tambien conocidos como di- tas blancas para detectar si los flujos nuevos son legtimos
agramas Circos, son diagramas circulares que represen- o no, etiquetando cada flujo como legtimo o ilegtimo.
tan las interrelaciones entre diferentes entidades. Aunque Esta fase es la fase de deteccion. Finalmente, una vez los
originalmente fueron disenadas para ser utilizadas en flujos estan etiquetados, el sistema crea una serie de dia-
genomica [14], el uso de los diagramas de cuerdas se ha gramas de cuerdas para representar los resultados. Mien-
extendido a diferentes campos. tras que la fase de aprendizaje ocurre una unica vez por
Las entidades visualizadas estan ordenadas de manera red monitorizada, las fases de deteccion y visualizacion se
circular. Cada entidad ocupa una longitud de arco difer- repiten periodicamente en el tiempo.
ente en funcion del peso que tiene en relacion al resto de
A. Fase de aprendizaje
entidades.
Las cuerdas son uniones que conectan las diferentes en- En esta fase, se crea una lista blanca de flujos a par-
tidades que forman el crculo. Cada cuerda une general- tir de los primeros flujos detectados en una red industrial
mente dos entidades diferentes, y la anchura de la cuerda en un periodo de tiempo determinado. La duracion ade-
en cada borde indica la naturaleza de la union. Si uno cuada del periodo de tiempo depende del tipo de proceso
de los bordes de la cuerda tiene una mayor anchura, la que controla la red. En procesos por lotes cortos, la du-
entidad de ese lado tiene una posicion mas dominante. racion necesaria para recoger todos los flujos importantes
Por ejemplo, en el caso de que una cuerda represente es menor que en procesos mas largos o contnuos, ya que
una relacion mercantil entre dos estados, el estado con los ciclos de la red seran tambien mas cortos.
la cuerda mas ancha en su base enva mas bienes hacia el La lista blanca es generada en formato CSV, de este
estado con la anchura mas pequena que viceversa. modo, un operador humano puede anadir flujos de red que
En el campo de la ciberseguridad, los diagramas de cuer- considere oportunos, o borrar los flujos de red registrados
das se han utilizado en diferentes tipos de sistemas de vi- que deben ser consideraros anomalos.
sualizacion, pero su uso no esta tan extendido como otros En las listas blancas, se guarda la siguiente informacion
tipos de diagramas. por cada flujo: direccion IP origen, direccion IP destino,
Mazel et al. [15] utilizan diagramas de cuerdas para puerto del servidor, tipo de protocolo IP y el numero pa-
realizar una comparativa visual de diferentes sistemas de quetes de red un intervalo de tiempo dado. No se tiene en
60
3
Redes Recolectores Servidor Flujos de Flujos Diagramas

Industriales de flujos de flujos red etiquetados de cuerdas
Paquetes
de flujo
Fase de
Datos de flujos Fase de deteccin visualizacin
Paquetes
de flujo
En lnea
Fuera de lnea Fase de aprendizaje
Listas blancas
Fig. 1: Vista general del sistema de monitorizacion de flujos.
cuenta el puerto del cliente, ya que se asigna de man- los datos de la lista blanca y se crea un diagrama de red
era aleatoria y etiquetar flujos validos como anomalos con la informacion por cada red.
por tener un numero de puerto cliente distinto dara fal- 2. Se crean varias listas blancas por cada red, donde cada
sos positivos. Barbosa et al. [9] no tienen en cuenta lista blanca tiene una duracion diferente. Todos los datos
el numero de paquetes para la elaboracion de la lista de flujos entrantes se recogen, y dependiendo de la lista
blanca, sin embargo, este sistema s lo contempla. Con- blanca con la que se quiere comparar se dividen en pedazos
sideramos el numero de paquetes un atributo importante de duracion diferentes. Los ultimos pedazos de cada du-
por dos razones: en primer lugar, para poder utilizar este racion se compara con su lista blanca correspondiente. Se
numero como una metrica a de visualizacion (as ayudara crea un diagrama de cuerdas por cada pedazo de duracion
a mostrar visualmente flujos mas y menos activos); y en diferente.
segundo lugar, puede ayudar a detectar anomalas de flujo La segunda es una opcion mas deseable, ya que ofrece
relativas al tamano (ataques de denegacion de servicio, o mas granularidad, dando la oportunidad de monitorizar
la cada de un dispositivo). diferentes ventanas de tiempo y de detectar anomalas que
pueden ser clasificadas como falsos negativos cuando se
A.1 Listas blancas con datos de flujo temporales utiliza una unica lista blanca. Por ejemplo, si un disposi-
Sin embargo, la utilizacion del numero de paquetes exis- tivo de red esta programado para enviar un gran numero
tente en un flujo complica la utilizacon de las listas blan- de paquetes de manera estacional durante periodos cortos,
cas. El numero de paquetes detectado en el flujo es un pero debido a un fallo ese envo no cesa, las listas blan-
dato temporal, es decir, dependiente de la duracion de cas de corta duracion permitiran el trafico, ya que esta
la captura (cuanto mayor sea el tiempo monitorizado del registrado que el dispositivo enva ese trafico por periodos
flujo, mayor sera el numero de paquetes que aparecen en cortos. Sin embargo, las listas blancas de mayor duracion
el). Por ello, es necesario establecer una validez de un es- registraran que a largo plazo no es un trafico legtimo.
pacio de tiempo a cada lista blanca, en la cual puede ser Por ello, proponemos un sistema que utiliza listas blan-
utilizada. En otras palabras, una lista blanca es solo rele- cas con datos de red correspondiente a diferentes periodos
vante si el tiempo de captura que se ha utilizado para su de tiempo. Sin embargo, el numero optimo de listas blan-
elaboracion es de la misma duracion que los datos de flujo cas a utilizar, as como la duracion de la monitorizacion
capturados con los que se compara. Por ejemplo, si una de cada lista es un atributo que depende del proceso y
lista blanca registra la actividad de una red los primeros debera estudiarse para cada caso. No obstante, es im-
diez minutos de una red industrial, es necesario que las portante recalcar que a mayores tiempos de aprendizaje
capturas de flujos posteriores tengan tambien la misma para construir las listas blancas, mayor es la probabili-
duracion para poder comparar correctamente el numero dad de registrar trafico malicioso o anomalo en la red y
de paquetes registrado en el flujo. etiquetarlo como legtimo en la lista blanca.
Hay dos formas diferentes de abordar esta cuestion:
B. Fase de deteccion
1. Se crea una unica lista blanca por red, con los datos re-
gistrados de una duracion unica. Todos los datos de flujos En esta fase, se utilizan las listas blancas creadas en la
entrantes se recogen, y mas tarde, al realizar las consul- fase anterior para evaluar los datos de flujo entrantes. Los
tas, estos datos recogidos se dividen en pedazos donde la datos de flujos se obtienen mediante consultas al servidor
duracion de la captura de cada pedazo es la misma que la de flujos. Periodicamente se obtienen los datos de flujos de
de la lista blanca. El pedazo mas reciente se compara con red correspondientes a los diferentes periodos de tiempo
61
4
para los que se haya creado una lista blanca. Despues, se tado. Esta informacion etiquetada se utiliza en la siguiente
comparan los datos de flujo de cada duracion con su lista fase (la de visualizacion) para construir el diagrama de
blanca correspondiente. cuerdas que muestra los flujos de red con sus anomalas
Por cada flujo detectado, el detector comprueba si los detectadas.
datos del flujo estan registrados en la lista blanca. En el
caso de las direcciones origen y destino, puerto del servidor C. Fase de visualizacion
y protocolo utilizado, la informacion de ambos flujos debe En esta fase, cada uno de los conjuntos etiquetados de
ser exacta. En el caso del numero de paquetes registrados flujos de red es mostrado en forma de un diagrama de
hay una excepcion: los numeros de la lista blanca y del cuerdas.
flujo detectado no tienen que ser exactamente iguales, pero En primer lugar, cada uno de los dispositivos activos en
tampoco pueden muy diferentes. El detector da la posibil- la red obtiene una seccion de la circunferencia que forma
idad de establecer un umbral en forma de porcentaje que el exterior del diagrama de cuerdas. La longitud de arco
indica la tolerancia del detector a la diferencia del numero es proporcional al porcentaje de paquetes que el host ha
de paquetes registrado. Flujos que difieren del flujo reg- enviado en el periodo que ha durado la captura; los dis-
istrado en la lista blanca por un margen mayor que el positivos que envan mas paquetes ocupan una longitud de
porcentaje establecido, son etiquetados como anomalos, arco mayor. Una vez que los dispositivos han sido colo-
mientras que los que quedan dentro de los lmites del um- cados en el diagrama, es necesario representar los flujos
bral se consideran legtimos. entre ellos.
Si el flujo detectado es considerado valido, el flujo se eti- Para ello se utilizan las cuerdas: cada flujo de red bidi-
queta como legtimo y no se lanza ninguna alerta. Sin em- reccional esta representado con una cuerda que une dos
bargo, si se detecta un flujo que no ha sido registrado en la dispositivos diferentes. Si dos dispositivos se comunican
lista blanca, el detector etiqueta ese flujo como anomalo y con diferentes flujos (conexiones a puertos diferentes, uso
lanza una alerta. Ademas, el sistema tambien comprueba de protocolos distintos), se sigue visualizando una unica
si los flujos registrados en la lista blanca han sido detec- cuerda que aglutina los flujos entre los mismos disposi-
tados en la red durante ese periodo de tiempo. Si un flujo tivos.
registrado en la lista blanca no ha sido detectado, el flujo La anchura en los bordes de la cuerda, viene dado
se anade al grupo de flujos etiquetados como ausente y se tambien por el numero de paquetes que enva. Por ejem-
lanza una alerta. De esta forma se puede detectar cuando plo, si en un flujo dado el Dispositivo A manda mas pa-
hay problemas de conectividad en la red. quetes que el Dispostivo B, la anchura sera mayor en el
Se han creado las siguientes etiquetas en el detector, borde del lado del Dispositivo A. De manera similar, los
basadas en las comparaciones entre las listas blancas y los flujos mas activos estaran representados con cuerdas mas
flujos registrados: anchas, ya que los actores mas activos tendran bordes mas
Flujo legtimo El flujo es legtimo segun la informacion anchos. El diagrama es interactivo, cuando el usuario pasa
contenida en la lista blanca. el raton por encima de un flujo, el diagrama muestra in-
Flujo anomalo Dos dispositivos se comunican entre s, formacion basica acerca del flujo: nombre de los dispos-
pero segun la lista blanca no deberan de hacerlo. Todos itivos implicados, numero de paquetes enviados en cada
los flujos relativos a un dispositivo desconocido se etique- direccion. . .
tan como tal. La figura 2 muestra un diagrama de cuerdas completo
Puerto incorrecto Un dispositivo trata de conectarse a un donde todos los flujos detectados en su periodo de tiempo
puerto diferente del habitual de un dispositivo con el que han sido etiquetados como legtimos. Se puede apreciar
tiene permitido comunicarse. como la anchura de las cuerdas y sus bordes vara de un
Protocolo incorrecto Un dispositivo trata de conectarse a flujo a otro dependiendo de la actividad del flujo.
un dispositivo con el que puede comunicarse utilizando un En el caso de flujos de red no legtimos, se rellena de
protocolo distinto del habitual. color rojo, como se muestra en la figura 3. Por un lado
Flujo ausente Un flujo registrado en la lista blanca no ha la figura 3a representa como el color rojo destaca entre
sido detectado en el periodo de tiempo correspondiente a el resto de colores de los flujos legtimos. Por otro lado,
la captura. la figura 3b muestra la interactividad del grafico: el dia-
Tamano de flujo anomalo El numero de paquetes de un grama filtra los flujos relevantes de un dispositivo y mues-
flujo registrado en la lista blanca y el flujo detectado vara tra el aviso acerca de la razon por la que el flujo ha sido
mas que el umbral establecido. etiquetado como no legtimo, cuando el usuario selecciona
Cada etiqueta se utiliza para dar informacion acerca de el flujo. Como se ha comentado anteriormente, esta infor-
la razon por la que el flujo se considera no legtimo, tanto macion adicional se toma de la etiqueta que ha asignado el
en la alerta lanzada como en la visualizacion mostrada. detector. En este caso, la lista blanca no permite ningun
Una vez que todos los flujos han sido etiquetados, el de- trafico entre los dispositivos PLC 1 y HMI 2.
tector traduce todas las direcciones IP de los dispositivos Con la excepcion de los flujos con la etiqueta de Flujo
a nombres de dispositivo para facilitar la comprension de ausente, todos los flujos no legtimos se tinen de rojo
los datos de flujo al usuario. para que destaquen entre el resto de flujos. Sin embargo,
Finalmente, despues de la traduccion de nombres, el debido a la naturaleza diferente de los flujos etiquetados
sistema tiene un conjunto de flujos completamente etique- como ausentes, estos flujos son representados tenidos de
62
5
(a) Flujo prohibido entre PLC 1 y HMI 2. (b) Detalle del flujo anomalo
Fig. 3: Representacion de un flujo de red anomalo.
Switch 2
Switch 1 Gateway
Fig. 4: Topologa de red de la red industrial de prueba.
Fig. 2: Diagrama de cuerdas representando un conjunto A. Red de prueba

de flujos de red legtimos.
Realizar pruebas de seguridad en una red industrial real
y en marcha puede ocasionar consecuencias inesperadas,
como fallos en el funcionamiento de la red o situaciones
negro (ver figura 7). Ademas este tipo de flujos son los potencialmente peligrosas [19]. Ademas de momento, no
unicos en los que se utiliza la informacion de la lista blanca hay ningun conjunto de datos estandar con datos reales
para representarlos, ya que en los datos recogidos no hay de flujo de una red industrial con varios dispositivos. Por
datos que impliquen a esos flujos. ello, se ha duplicado la red de control de una instalacion
industrial real para realizar las pruebas en un entorno de
laboratorio. La red original es la red de control de una
IV. Applicacion en una red industrial lnea de pintado de coches de una planta de fabricacion.
La figura 4 muestra la topologa de red de la red de
Esta seccion prueba la solucion presentada anterior- prueba. Los switches son los dispositivos de red que envan
mente con datos reales de una red industrial. los paquetes de flujo a los recolectores. En esta red se
63
6
utiliza NetFlow de Cisco, version 5 para el envo de la ambos dispositivos esta permitida, sobrepasa el numero
informacion de flujo. Ademas el Switch 1 es ademas el de paquetes permitidos. Al ser el numero de paquetes en-
servidor DNS de la red. viados mayor, el HMI 3 ocupa una mayor seccion del arco
Hay tres controladores logicos programables (PLCs) en y la cuerda del flujo anomalo es mas ancha en su lado.
la red, que son los responsables del control de proceso in-
dustrial. Dos servidores de control extraen la informacion
del proceso a los tres PLCs simultaneamente. La comu-
nicacion entre los servidores y los controladores se realiza
mediante el protocolo Modbus/TCP
Tambien hay tres interfaces maquina-humano (HMIs)
en la red, que permite que los operadores puedan super-
visar el proceso y sus variables de una manera visual y
accesible. HMI 1 recoge los datos del Servidor 1, el HMI
2, del Servidor 2 y, por ultimo, el HMI 3 recoge datos de
ambos servidores. La comunicacion entre los HMIs y los
servidores es mediante el protocolo OPC.
Una puerta de enlace o gateway conecta la red industrial
con redes exteriores, donde se encuentra en este caso el
recolector de flujos.
B. Implementacion del sistema

Como se ha comentado, los flujos en el sistema de
prueba son NetFlow version 5. Los switches mandan los Fig. 5: Visualizacion de un ataque de denegacion de ser-
paquetes de flujo de red a agentes de Logstash2 que, ac- vicio.
tuando como recolector de flujos, los recibe, los analiza y
despues los indexa en un cluster de ElasticSearch3 . Este
enfoque permite el uso de sistema de monitorizacion a C.2 Descubrimiento de red
gran escala y permite que las consultas se puedan realizar
de manera rapida. El sistema de visualizacion que forma El descubrimiento de dispositivos es uno de los primeros
los diagramas de cuerdas ha sido desarrollado utilizando pasos que un atacante ejecuta cuando obtiene acceso a una
la librera D3 [20]. red desconocida para poder obtener informacion acerca de
ella. El escaneo de puertos es una de las tecnicas mas uti-
C. Anomalas de red lizadas para el descubrimiento. En esta prueba se realiza
En esta seccion se muestran diagramas de cuerdas en un escaneo de puertos TCP Connect con Nmap desde el
tres casos anomalos diferentes: un ataque de denegacion HMI 3.
de servicio (DoS), un escaneo de la red con el objetivo de La representacion del ataque puede verse en la figura
enumerar los dispositivos presentes en la red y un fallo en 6. Todos los flujos que incluyen a HMI 3 estan marcados
la red donde un dispositivo deja de estar disponible. En como anomalos, bien porque tiene prohibida la comuni-
estas pruebas todas las listas blancas y muestras de red cacion con la mayora de hosts (p. ej. los PLCs) o porque
han sido tomados en un periodo de diez minutos y con un utiliza puertos y/o protocolos diferentes para comunicarse
umbral del 20% como variacion maxima permitida en el con dispositivos con los que s tiene permitida la comuni-
numero de paquetes registrados en un flujo. cacion.
C.1 Denegacion de Servicio C.3 Dispositivo no disponible

Los ataques de denegacion de servicio ocurren cuando Por ultimo, consideramos el caso donde un dispositivo
un atacante intenta obstruir el funcionamiento real de tiene problemas de conectividad y no es capaz de comuni-
un dispositivo o servicio dejandolo no disponible para los carse con la red y, por lo tanto, de enviar o recibir paque-
agentes legtimos. En redes industriales, donde la disponi- tes. Para la realizacion de esta prueba, se ha desconectado
bilidad es el principal objetivo de la seguridad y donde fsicamente el Servidor 1 de la red.
problemas de latencia de red pueden crear problemas im- La figura 7 muestra como los flujos del dispositivo cado
portantes de red, este tipo de ataques son muy peligrosos. han sido etiquetados como ausentes, y como tal, tenidos
En este caso, imitamos un ataque de denegacion de servi- de negro. Para poder visualizar los datos de los flujos
cio mediante el envo de grandes cantidades de paquetes implicados, se han utilizado los datos registrados en la
ilegtimos del HMI 3 al Servidor 1. lista blanca.
El resultado de la visualizacion del ataque esta en la
figura 5. El flujo que muestra el ataque se muestra rel- V. Conclusiones y trabajos futuros
lenado de color rojo, ya que aunque la comunicacion entre Hemos presentado un sistema para la monitorizacion de
2 https://github.com/elastic/logstash flujos de red que se vale de diagramas de cuerdas y listas
3 https://github.com/elastic/elasticsearch blancas. Para ello, primero se elaboran una serie de listas
64
7
A. Trabajos futuros
La informacion relativa a los puertos y protocolos es
utilizada para la deteccion de anomalas, pero en la visu-
alizacion no muestra la informacion relativa a ellas. La
inclusion de estas caractersticas aumentara la cantidad
de informacion que el operador recibe de manera visual,
pero tambien aumenta el riesgo de complicar las visual-
izaciones demasiado, hasta el punto de no poder cumplir
su cometido.
Las listas blancas se crean al principio de la recoleccion
de flujos y no son directamente editables desde la inter-
faz visual. Sin embargo, es interesante ofrecer al usuario
esta opcion de editar las listas blancas para poder permi-
tir flujos marcados como ilegtimos si el operador puede
determinar su legitimidad y no ha sido detectado en la
fase de aprendizaje.
Fig. 6: Visualizacion de un escaneo de puertos. Referencias

[1] A. Cardenas, S. Amin, and S. Sastry, Research Challenges for
the Security of Control Systems., in HotSec, 2008.
[2] K. Stouffer, J. Falco, and K. Scarfone, Guide to Industrial
Control Systems (ICS) Security, Special publication 800-82,
tech. rep., National Institute of Standards and Technology,
June 2011.
[3] Consejo de la Union Europea, Directiva 2008/114/CE del
Consejo de 8 de diciembre de 2008 sobre la identificacion y des-
ignacion de infraestructuras crticas europeas y la evaluacion
de la necesidad de mejorar su proteccion, Diario Oficial de la
Union Europea, vol. L345, pp. 7582, Diciembre 2008.
[4] B. Miller and D. Rowe, A survey of SCADA and Critical In-
frastructure incidents, in Proceedings of the 1st Annual confer-
ence on Research in information technology, pp. 5156, ACM,
2012.
[5] N. Falliere, L. O. Murchu, and E. Chien, W32.Stuxnet
dossier, White paper, Symantec Corp., Security Response,
2011.
[6] McAfee, Global Energy Cyberattacks: Night Dragon (white
paper), tech. rep., McAfee, 2011.
[7] D. Hentunen and A. Tikkanen, Havex Hunts For ICS/SCADA
Systems, June 2014. [Online]. Available: http://www.f-
secure.com/weblog/archives/00002718.html (Retrieved: 2015-
07-26).
[8] M. Cheminod, L. Durante, and A. Valenzano, Review of Se-
curity Issues in Industrial Networks, IEEE Transactions on
Fig. 7: Visualizacion de un dispositivo cado. Industrial Informatics, vol. 9, no. 1, pp. 277293, 2013.
[9] R. R. R. Barbosa, R. Sadre, and A. Pras, Flow Whitelisting
in SCADA Networks, International Journal of Critical Infras-
tructure Protection, vol. 6, no. 3, pp. 150158, 2013.
blancas temporales que tienen en cuenta el numero de pa- [10] M. Herrero Collantes and A. Lopez Padilla, Protocolos y Se-
quetes registrados, junto con las direcciones de red, puer- guridad de red en infraestructuras SCI, tech. rep., INCIBE:
Instituto Nacional de Ciberseguridad, Mayo 2015.
tos de servicio y protocolos IP que permite la deteccion [11] I. Garitano, M. Iturbe, I. Arenaza-Nuno, R. Uribeetxeberria,
de anomalas relacionadas con flujos de red. Todos los flu- and U. Zurutuza, Sistema de Deteccion de Anomalas para
jos se etiquetan utilizando la lista blanca como referencia protocolos propietarios de Control Industrial, in XIII Span-
ish Meeting on Cryptology and Information Security (RECSI
(legtimo, anomalo, puerto o protocolo incorrecto, ausente 2014), (Alicante, Spain), pp. 315320, University of Alicante,
y tamano de flujo anomalo). Sep 2014.
[12] M. Hoeve, Detecting Intrusions in Encrypted Control Traffic,
Estos datos etiquetados se utilizan para producir dia- in Proceedings of the First ACM Workshop on Smart Energy
gramas de cuerdas que representan relaciones de red entre Grid Security, SEGS 13, (New York, NY, USA), pp. 2328,
dispositivos diferentes, en donde el numero de paquetes de ACM, 2013.
[13] B. Genge, D. A. Rusu, and P. Haller, A connection pattern-
red es la principal metrica para producir el diagrama, es- based approach to detect network traffic anomalies in critical
pecialmente para establecer el tamano de las cuerdas. El infrastructures, in Proceedings of the Seventh European Work-
sistema de etiquetado tambien tiene un codigo de colores shop on System Security, (Amsterdam, Netherlands), ACM,
2014.
que hacen que los flujos anomalos destaquen con colores [14] M. Krzywinski, J. Schein, I. Birol, J. Connors, R. Gascoyne,
diferentes (en rojo o negro) y tambien proporciona infor- D. Horsman, S. J. Jones, and M. A. Marra, Circos: an infor-
macion acerca de la razon por la que el flujo ha sido eti- mation aesthetic for comparative genomics, Genome Research,
vol. 19, no. 9, pp. 16391645, 2009.
quetado como no legtimo, tanto en la visualizacion como [15] J. Mazel, R. Fontugne, and K. Fukuda, Visual comparison of
en las alertas lanzadas. network anomaly detectors with chord diagrams, in Proceed-
65
8
ings of the 29th Annual ACM Symposium on Applied Comput-

ing, pp. 473480, ACM, 2014.
[16] R. Layton, P. Watters, and R. Dazeley, Unsupervised author-
ship analysis of phishing webpages, in Communications and
Information Technologies (ISCIT), 2012 International Sympo-
sium on, pp. 11041109, IEEE, 2012.
[17] S. Chen, C. Guo, X. Yuan, F. Merkle, H. Schaefer, and T. Ertl,
OCEANS: online collaborative explorative analysis on network
security, in Proceedings of the Eleventh Workshop on Visual-
ization for Cyber Security, pp. 18, ACM, 2014.
[18] T. Tack, A. Maier, and O. Niggemann, On Visual Analytics
in Plant Monitoring, in Informatics in Control, Automation
and Robotics, pp. 1933, Springer, 2014.
[19] D. Duggan, M. Berg, J. Dillinger, and J. Stamp, Penetration
testing of industrial control systems, Tech. Rep. SAND2005-
2846P, Sandia National Laboratories, March 2005.
[20] M. Bostock, V. Ogievetsky, and J. Heer, D3 data-driven doc-
uments, Visualization and Computer Graphics, IEEE Trans-
actions on, vol. 17, no. 12, pp. 23012309, 2011.
66
1
Correlacion de Alertas en la Deteccion de Malware

en Redes basadas en Anomalas
Jorge Maestre Vidal, Ana Lucila Sandoval Orozco and
Luis Javier Garca Villalba, Senior Member, IEEE
Grupo de Analisis, Seguridad y Sistemas (GASS, http://gass.ucm.es)

Departamento de Ingeniera del Software e Inteligencia Artificial (DISIA)
Facultad de Informatica, Despacho 431, Universidad Complutense de Madrid (UCM)
Calle Profesor Jose Garca Santesmases, 9, Ciudad Universitaria, 28040 Madrid, Espana
E-mail: jmaestre@ucm.es, {asandoval, javiergv}@fdi.ucm.es
Resumen En este trabajo se presenta un marco para la del trafico que circula por una red, en busca de contenidos
correlacion de alertas emitidas por sistemas de deteccion anomalos. Su elaboracion ha sido motivada por la necesi-
de anomalas en redes basados en el analisis estadstico de
la carga util del trafico. La estrategia propuesta tiene en dad de complementar la herramienta de deteccion APAP
cuenta las caractersticas de los modelos construidos du- desarrollada por nuestro grupo de investigacion [4]. En
rante el entrenamiento de los sensores. Las alertas son base a esto se propone un marco para correlacionar inci-
analizadas de manera individual y en grupo, en dos niveles
de procesamiento relacionados entre s. El primero ofrece
dencias, adaptado a sensores de caractersticas similares.
respuestas rapidas a nivel de paquete; el segundo facilita La propuesta gestiona las alertas en un esquema multi-
la reconstruccion de escenarios de ataques. Para su evalu- nivel, que permite su analisis individual y en grupos. Su
acion se ha procesado trafico real de la Universidad Com- eficacia ha sido demostrada en un caso de uso real, con
plutense de Madrid.
trafico de la Universidad Complutense de Madrid (UCM).
El resto del artculo esta estructurado de la siguiente
I. Introduccion manera: en la seccion 2 se describen los trabajos relaciona-
dos. En la seccion 3 se propone un marco para correla-
En los ultimos anos el malware ha experimentado un
cionar sus alertas. En la seccion 4 se describe el escenario
importante crecimiento. Segun la Agencia Europea de
de evaluacion. En la seccion 5 se discuten los resultados
Seguridad de las Redes y de la Informacion (ENISA), el
obtenidos. Finalmente, en la seccion 6 se presentan las
software malicioso se ha convertido en la principal ame-
conclusiones.
naza para las tecnologas de la informacion actuales [1].
Esto es debido a que cada vez mas usuarios se apoyan
en estos servicios para llevar a cabo actividades de es- II. Trabajos Relacionados
pecial sensibilidad, como comercio electronico o accesos Recientemente se han publicado diferentes estados del
a informacion confidencial. Ademas el malware es mu- arte relacionados con la gestion de las alertas emitidas
cho mas sofisticado, habiendo adquirido mayor capacidad por sistemas de deteccion de intrusiones. Algunos de el-
de propagacion, infeccion y elusion de mecanismos defen- los ofrecen una vision general, como es el caso de [2],
sivos. En consecuencia, asegurar la eficacia de los sistemas [3]. Sin embargo otros hacen hincapie en aspectos mas
de deteccion convencionales a menudo requiere de su com- especficos, como en la colaboracion entre sensores [5], o
plementacion por medio de otras herramientas, de entre la reduccion de su tasa de falsos positivos [6]. A lo largo
las que destacan los sistemas de correlacion de alertas. de la bibliografa, los sistemas de correlacion de alertas
Los sistemas de correlacion de alertas facilitan la gestion han sido agrupados de manera muy similar a la propuesta
de las alertas emitidas por los sistemas de deteccion de en [2], donde su eje de clasificacion esta determinado por
intrusiones, mejorando as la decision de las contramedidas los metodos de correlacion. En base a este criterio se dis-
a aplicar [2]. En la ultima decada se ha publicado una tinguen tres grandes grupos: estrategias basadas en simil-
gran cantidad de propuestas al respecto. Pero a pesar de itud, metodos secuenciales o casos.
ser un problema ampliamente estudiado, la mayor parte La correlacion basada en similitud habitualmente se
de los esfuerzos realizados abordan soluciones de ambito centra en la agrupacion y reduccion de las alertas emi-
general, que a menudo son inefectivos en casos de uso tidas. Para ello se tienen en cuenta diferentes atributos
reales. Algunas de las principales causas de este problema o caractersticas, que abarcan desde las direcciones IP y
se enumeran en [3], destacando el crecimiento del volumen puertos relacionados con la intrusion, hasta la frecuencia
de informacion a tratar, la gestion de una mayor cantidad de aparicion de ciertos patrones en su contenido. En [7]
de alertas o su heterogeneidad. se observa un claro ejemplo, donde ademas de estos atrib-
La propuesta realizada se centra en el problema de la utos, son considerados otros rasgos, como su protocolo o
correlacion de alertas en sistemas de deteccion de intru- prioridad de tratamiento. En [8] se aplican caractersticas
siones basados en el analisis estadstico de la carga util parecidas al tratamiento de eventos de redes moviles. La
67
2
correlacion basada en similitud a menudo tambien tiene entrenamiento de los sensores es posible inferir las
en consideracion las relaciones espacio-temporales de las propiedades del malware.
incidencias. Un ejemplo de ello se encuentra [9], donde Cuando la carga util de un paquete satisface ciertas
a partir de estas caractersticas es posible inferir el esce- propiedades definidas en el entrenamiento, se emite una
nario del ataque. Otras propuestas toman como referencia alerta. Tambien se emiten alertas cuando la carga
atributos propios del sistema de deteccion. Este es el caso util difiere considerablemente de los modelos de uso
de [10], donde la correlacion se realiza a partir de una legtimo.
version comprimida del conjunto de muestras que ha par- Una amenaza puede llegar a la vctima repartida en
ticipado en el entrenamiento del sensor. diferentes paquetes. Ademas es frecuente que cada uno
El analisis secuencial de alertas tiene en cuenta las rela- de ellos desencadene una accion intrusiva diferente, pero
ciones de causalidad de los incidentes, y se basa en el es- necesaria para que actue la siguiente.
tudio de sus precondiciones y postcondiciones. Se definen Los sistemas de deteccion robustos frente a metodos de
como precondiciones al conjunto de requisitos necesarios evasion a menudo operan de manera no determinista
para desencadenar una amenaza. Las postcondiciones son para evitar ser enumerados. Tambien permiten recono-
las consecuencias de su ejecucion. En [11] se muestra un cer algunas tecnicas de ocultacion basadas en oligomor-
claro ejemplo de esta metodologa, donde mediante el en- fismo y metamorfismo, por medio de la identificacion
lace de prerrequisitos y postcondiciones de diferentes aler- de la parte invariante de su vector de infeccion.
tas, es posible la construccion de escenarios de ataques. En el marco propuesto se analiza la informacion ofrecida
En [12] esto se lleva a cabo mediante la elaboracion de ma- por las alertas en base a las caractersticas extradas por el
trices de correlacion causal. Otra representacion comun propio sensor, y una base del conocimiento. Por lo tanto
son los grafos. En [13] se profundiza en esta tendencia, ambas herramientas deben compartir metricas y estrate-
y se propone la aplicacion de grafos de incidencias gen- gias de modelado. Esto dificulta su escalabilidad, pero
eralizados basados en las relaciones de dependencia en- tiene en cuenta que los sistemas de deteccion basados en
tre alertas. La construccion del escenario del ataque a anomalas a menudo ofrecen informacion muy especfica,
menudo involucra la aplicacion de diferentes estrategias, la cual tiene que ver con distancias entre modelos y reglas
como sucede en [14] mediante el uso de gramaticas, o en de activacion, adaptandose de este modo mucho mejor a
[15] con algoritmos de minera de datos, haciendo especial los casos de uso reales.
hincapie en la logica difusa.
Los metodos basados en casos se fundamentan en bases
del conocimiento, denominadas en este contexto como A. Arquitectura
bases de casos. Por lo tanto, dependen de algoritmos
La aproximacion propuesta gestiona las incidencias en
encargados de reconocer los patrones especficos de com-
base a dos criterios: la diferencia de la observacion con
portamiento representados en ellas. Un ejemplo de ello
los modelos de uso legtimo de la red, y su naturaleza.
se observa en [16], donde los escenarios de ataques que
Eso permite establecer dos componentes de analisis. El
integran la base de casos son construidos a partir de agru-
primero lleva a cabo la correlacion en funcion del grado
paciones de incidencias. La propuesta infiere futuras ame-
de anomala que muestran las observaciones que han cau-
nazas, lo que permite actualizar la base del conocimiento
sado alertas. Ha sido denominado componente de Di-
con nuevas intrusiones. En [17] se introduce una aprox-
agnostico por Anomala (DA). El otro componente las
imacion similar, centrada en la actualizacion automatica
agrupa tomando como eje de clasificacion su naturaleza.
de grafos de dependencias. En [18] se aplican algoritmos
Ha sido denominado componente de Diagnostico por Nat-
de agrupamiento para clasificar las incidencias en funcion
uraleza (DN). La arquitectura de la propuesta consta de
de la base de casos, con el fin de priorizar su tratamiento.
dos niveles de tratamiento de informacion, tal y como se
muestra en Fig. 1. El primero de ellos se encarga de
III. Marco para la Correlacion de Alertas
correlacionar incidencias individuales a nivel de paquetes.
El marco propuesto para la gestion de incidencias se En el participan los componentes DA y DN, y se proponen
adapta a las particularidades de las herramientas de de- los objetivos de agrupar, priorizar y distinguir las inciden-
teccion de malware basadas en anomalas. En consecuencias desencadenadas por falsos positivos. El segundo nivel
cia, han sido consideradas las siguientes asunciones: trata de identificar conjuntos de alertas relacionadas entre
Los sensores a complementar presentan arquitec- s, derivadas de amenazas ejecutadas en diferentes pasos.
tura centralizada. Existen pocas contribuciones que Por lo tanto depende de las caractersticas extradas en
planteen esquemas colaborativos. Ademas, el analisis el nivel anterior. Para asociar las incidencias se considera
centralizado predomina en las publicaciones de mayor una variante del componente DN que aplica una base del
relevancia. conocimiento relacionada con amenazas en multiples pa-
Los sensores analizan el trafico paquete a paquete. El sos. A pesar de su relacion, el resultado del analisis llevado
modelado de la red se basa en el estudio de su carga a cabo en cada nivel debe interpretarse de manera inde-
util, por ser el campo que contiene el codigo malicioso. pendiente. Esto es debido a que cada uno de ellos cubre
Las peculiaridades de los sensores determinan las car- un caso de uso especfico. Ademas es recomendable su im-
actersticas que permiten establecer los modelos de uso. plementacion mediante metodos de clasificacion no deter-
A partir de las caractersticas de la carga util y del ministas, que dificulten posibles intentos de enumeracion.
68
3
La fase de agrupamiento se ejecutara cada vez que el

Entorno Monitorizado sistema de deteccion emita una alerta. Esta es asignada
al grupo de alertas de mayor similitud.
NIDS Alertas C. Diagnostico por Naturaleza
Sistema de correlacin La naturaleza de una anomala es el tipo de amenaza

que la desencadena. Para que el componente DN sea
Paquetes
DA capaz de su determinacion, se requiere de una base del
conocimiento sobre ataques, adecuada a las caractersticas
DA DNSimple del entorno protegido. La naturaleza de las incidencias es
inferida a nivel de alertas y de trazas, tal y como se de-
scribe a continuacion:
{distancia, naturaleza}
Naturaleza de alertas. Sea U = {u1 , , up }, tal que
0 < p el conjunto de caractersticas en las que se
basa un detector para etiquetar un evento. A par-
Trazas tir de ellas es posible determinar las propiedades P =
DNMltiple
{p1 , , pn } de la amenaza. Cada propiedad pi , 0 <
i n es definida por un subconjunto de caractersticas
{amenaza}
C = {c1 , , cm } tal que 0 < m, pertenecientes a
U . Notese que las P propiedades actuan como reglas
de deteccion, mientras que las U caractersticas indi-
Fig. 1 can los valores que condicionan su activacion. En el
Arquitectura del sistema de correlacion de alertas. sistema propuesto la naturaleza de las amenazas es in-
ferida por un conjunto de propiedades (o reglas). Es-
tas son definidas mediante el entrenamiento del sis-
tema de deteccion a partir de una coleccion de mues-
B. Diagnostico por Anomala tras de ataques representativa del tipo de intrusion a
El componente DA correlaciona las alertas a partir de tratar. Aplicando este procedimiento con diferentes
un proceso de agrupamiento asociado a los resultados del tipos de amenaza es posible la construccion de la base
entrenamiento del sistema de deteccion de intrusiones. Sea del conocimiento del sistema de correlacion, la cual in-
D = {d1 , , dn }, tal que 0 < n el conjunto de trazas cluye todas las reglas que activan todas las amenazas
de trafico procesadas por el sensor en su entrenamiento, con las que ha sido entrenada. De este modo, cuando
donde A = {a1 , , am } son sus muestras con contenido el sistema de deteccion emita una alerta bastara con
maliciosos y L = {lm+1 , , ln } sus muestras legtimas, observar las caractersticas del malware que la han ac-
tal que 0 < m < n. tivado, para inferir un conjunto de reglas de la base de
DA opera en dos etapas: definicion de grupos y agru- casos, y a partir de ellas determinar su naturaleza.
pamiento. En la fase de definicion de grupos se establecen Naturaleza de secuencias de alertas. La estrategia de
las posibles clasificaciones que realiza. Tiene lugar du- clasificacion de secuencias es similar a la que se lleva a
rante el entrenamiento de los sensores, donde a partir de cabo a nivel de alertas. Esta parte de la informacion
L se genera una representacion del modo de uso habitual inicial, provista por el etiquetado realizado en el paso
del entorno protegido, cuyas caractersticas mas represen- anterior para cada una de las alertas que integran la
tativas son M L = {ml1 , , mlp } tal que 0 < p. En la secuencia. En este componente tambien se construye
definicion de grupos participa el modelo M L, y en oca- una base del conocimiento, solo que en esta ocasion las
siones el conjunto A; esto ultimo dependera de su numero caractersticas que activan las reglas son las etiquetas
de clases. del nivel de correlacion anterior, y las reglas son las
En el caso de considerar unicamente muestras legtimas, posibles secuencias que ha presentado la amenaza en
es decir si |A| es poco representativo, los grupos se con- su entrenamiento
struyen en funcion de la distancia de las observaciones re-
IV. Escenario de Pruebas
specto a los umbrales que determinan si seran etiquetadas
como anomalas o legtimas. Sin embargo, cuando |A| es El sistema de deteccion complementado ha sido APAP
representativa, sus muestras tambien pueden tomar parte [4]. A continuacion se describe la implementacion de cada
del proceso de decision de grupos. A diferencia del caso componente y la coleccion de muestras aplicada:
anterior, en esta situacion los algoritmos de agrupamiento Componente DA. A partir del modelado realizado por
solo consideran las distancias de las muestras maliciosas APAP se establecen las caractersticas de la carga util
respecto del umbral de decision. Se trata de un esquema del trafico que circula por la red protegida. Los val-
habitualmente mas preciso, ya que las alertas emitidas por ores centrales de los grupos en que se etiquetan las
los sensores siempre superan dichos margenes. De este anomalas se generan considerando las distancias en-
modo, y a diferencia del primer caso, los valores centrales tre los umbrales de decision del sensor y las carac-
de los grupos siempre los superan. tersticas que presenta el conjunto de trafico malicioso.
69
4
El agrupamiento se ha realizado mediante el algoritmo torizados, software con accesos no autorizados, spyware I,
K-medias. Al recibir alertas, el sistema de correlacion spyware II, anomala desconocida.
las asigna al grupo de mayor similitud. Las secuencias de alertas pueden inferir 9 tipos de clasi-
Componente DN para Alertas. El componente DN ficaciones: botnet I, malware ofuscado, gusano, drive-by,
para la correlacion de alertas ha sido implementado Adware, spyware, virus, botnet/troyano II, anomala de-
mediante una red neuronal artificial. Dicha red consta sconocida. El 80% de las trazas disponibles han sido em-
de n = 32 entradas, correspondientes con el total de pleadas en el entrenamiento del sistema y el 20% restante
caractersticas que componen la metrica en que se basa para su evaluacion.
APAP para la construccion de modelos. La red neu-
ronal presenta 3 capas (de las cuales una es oculta), V. Resultados
funcion de activacion Elliot y tolerancia a error del
0.001. Ha sido entrenada con las reglas construidas Durante la etapa de entrenamiento de APAP, en el com-
por el sensor, tras su entrenamiento con cada tipo de ponente DA se generaron 5 grupos de alertas. En funcion
amenaza y su salida asociada. Esto permite relacionar de su proximidad con el umbral de decision han sido eti-
las reglas inferidas por la emision de cada alerta, con quetadas con riesgos muy alto, alto, moderado, bajo y muy
su naturaleza. bajo. Se han realizado dos pruebas con dicho componente.
Componente DN para Secuencias de Alertas. Con el La primera de ellas sirve para decidir la capacidad del sis-
fin de generar clasificaciones no deterministas, el com- tema de identificar falsos positivos, e involucra el analisis
ponente DN ha sido implementado mediante un algo- de las trazas legtimas etiquetadas erroneamente como in-
ritmo genetico basico. Durante el entrenamiento de trusiones. Por otro lado se han correlacionado las alertas
APAP se ha establecido una tabla que asocia cada se- correspondientes a verdaderos ataques.
cuencia de alertas tratada, con el tipo de intrusion que En Fig. 2 se muestran los resultados. El 95,7% de
la desencadena. En el algoritmo genetico, el genotipo las muestras legtimas analizadas han sido clasificadas ex-
de cada individuo es un vector que contiene las clasi- itosamente en los grupos de menor riesgo (muy bajo y
ficaciones de todas las alertas de una secuencia de bajo). El 83,82% de las alertas por ataques verdaderos han
ataques. De esta manera las etiquetas que mas aparez- sido ubicadas correctamente en su grado de riesgo origi-
can en ella tendran mayor representacion. Cada vez nal. Los mayores errores han significado su asignacion al
que APAP genera una secuencia de alertas, el algo- grupo mas proximo del correcto. Esto permite una cierta
ritmo genetico construye una poblacion inicial de tra- tolerancia a fallos. El tiempo de procesamiento medio por
bajo a partir de su genotipo. Los individuos son gen- muestra de APAP ha sido de 171,104 ms; al anadirle el
erados a partir de mutaciones arbitrarias sobre este. componente DA el analisis tarda 173,127 ms en los ca-
A continuacion, realiza iteraciones que involucran las sos peores. Por lo tanto, la sobrecarga causada sobre el
operaciones de cruce y mutacion propias de este tipo de sistema es inferior al 1%.
algoritmos, hasta que alcanza su condicion de parada. La distribucion de las clasificaciones de las alertas emi-
Esto sucede cuando se alcanza un numero maximo de tidas por APAP, en base a su naturaleza, se muestra en
iteraciones o cuando un subconjunto representativo de Fig. 3 Al comparar la precision obtenida con la del CPD
los individuos ha alcanzado la aptitud optima (este es se ha obtenido una tasa de acierto del 99,512%. La pe-
el caso en que la funcion de aptitud devuelve el valor nalizacion sobre el tiempo de procesamiento del sensor es
0). La funcion de aptitud viene dada por la mejor del 2,3% (175,135 ms por muestra en los casos peores). Al
distancia Levenshtein entre el genotipo del individuo y combinar este etiquetado con el emitido por DA se obtiene
las configuraciones presentes en la tabla. la pareja riesgo,naturaleza, correspondiente con la salida
Al concluir el algoritmo, la secuencia es clasificada del nivel de procesamiento a nivel de paquetes. Dado que
como perteneciente a aquellas intrusiones cuyos genoti- ambas se calculan en paralelo, la sobrecarga a nivel de
pos asociados hayan aparecido en la poblacion de tra- paquetes ha sido la mayor de ellas: 2,3%.
bajo. La probabilidad de que se trate de la etiqueta
Los resultados de la correlacion de secuencias de alertas
correcta coincide con la probabilidad asociada a su fre-
se muestran en Fig. 4 En ella se indica la frecuencia de
cuencia de aparicion en la poblacion.
aparicion de cada etiqueta tras el proceso de correlacion,
y la del etiquetado correcto en la primera opcion del con-
A. Coleccion de Muestras
junto de soluciones propuesto por el algoritmo genetico.
Para la evaluacion del sistema se ha empleado una La precision de la etiqueta mas probable propuesta por
coleccion de capturas de trafico etiquetadas por el Cen- DN ha sido del 75,124%, mientras que el 24,876% restante
tro de Procesamiento de Datos (CPD) de la Universidad se ha dado en la segunda opcion mas representativa. Por
Complutense de Madrid, tomadas a lo largo del ano 2011 lo tanto, todas de las amenazas han sido agrupadas correc-
en la subred de la facultad de informatica. tamente considerando las dos primeras opciones emitidas.
Las posibles alertas han sido divididas en 16 categoras: En este caso el tiempo de procesamiento ha sido peor y
troyano, escalada de privilegios, codigo ejecutable, dene- asciende a 221,362 ms, lo que supone un incremento de la
gacion de servicio, software privativo, enumeracion I, enu- sobrecarga del 20,88% tras considerar el retardo del DA y
meracion II, virus, exploit, software privativo espa, accion el del DN (debido principalmente al uso de un algoritmo
de control remoto, software privativo con accesos no au- genetico).
70
0,00380625
0,01358725
JNIC2015 0,00567021 Cuarta sesion: Seguridad en redes
0,11796354
0,00380625
0,163631
0,01358725 5
0,137609
0,00567021
60,0% 0,247923
0,11796354 Agradecimientos
50,2% Legtimo
50,0% 45,5%0,0000975
0,163631
43,8% Malicioso Los autores agradecen el apoyo brindado por el Pro-
0,00015
0,137609
40,0% grama de Financiacion de Grupos de Investigacion UCM
0,09660625
0,247923
30,0% validados de la Universidad Complutense de Madrid -
0,00344625
0,0000975
20,0%
Banco Santander.
0,00626275
12,6%0,0001514,8% 15,4%
10,4%
10,0% 0,09660625 Referencias
0,00026 4,3%
0,0%
0,00344625 [1] L. Marinos, A. Sfakianakis, ENISA (2015), Threat Landscape
Muy Bajo0,002509
0,00626275Bajo Medio Alto Muy Alto 2014. Available: https://www.enisa.europa.eu/
0,004394 [2] S. Salah, G. Macia-Fernandez, J.E. Daz-Verdejo, A model-
0,00026 Fig. 2 based survey of alert correlation techniques, Computer Net-
0 works, vol. 57, no. 5, pp. 1289-1317, 2013.
Resultados en correlacion basada en anomalas.
0,002509 [3] S. A. Mirheidari, S. Arshad, R. Jalili, Alert Correlation Al-
0,004394 gorithms: A Survey and Taxonomy, in Proceedings of the 5th
Total 0,80010975 International Symposium on Cyberspace Safety and Security
0 (CSS), Zhangjiajie, China, 2013. Lecture Notes in Computer
Troyano 0,381% Science, vol. 8300, pp. 183-197, 2013.
Esc. privilegios 1,359%
[4] L.J.G. Villalba, A.L. Sandoval Orozco, J. Maestre Vidal, Mal-
Cd. ejecutable 0,567%
Total DoS 0,80010975 11,796% ware Detection System by Payload Analysis of Network Traf-
Sfw. privativo 16,363% fic, IEEE Latin America Transactions, vol. 13, no. 3, pp. 850-
Troyano 0,381%
Enumeracin I 13,761% 855, 2015.
Esc. privilegios 1,359% [5] H.T. Elshoush, I.M. Osman, Alert correlation in collaborative
Enumeracin II
Cd. ejecutable 0,567% 24,792%
Virus
DoS 0,010% 11,796% intelligent intrusion detection systems-A survey, Applied Soft
Exploit
Sfw. privativo 0,015% 16,363% Computing, vol. 11, no. 7, pp. 4349-4365, 2011.
Sfw. Priv./spy I
Enumeracin I 9,661% 13,761% [6] N. Hubballi, V. Suryanarayanan, False alarm minimization
Control remoto
Enumeracin II 0,345% 24,792% techniques in signature-based intrusion detection systems: A
Swr priv. restrict.
Virus 0,626%
0,010% survey, Computer Communications, vol. 49, pp. 1-17, 2014.
Swr. acc. no aut. 0,026%
0,015%
Exploit
Spyware I 0,251%
[7] G.C. Tjhai, S.M. Furnell, M.Papadaki, N.L. Clarke, A pre-
Sfw. Priv./spy I
Spyware II 0,439% 9,661% liminary two-stage alarm correlation and filtering system using
Control remoto 0,345% SOM neural network and K means algorithm, Computers &
Swr priv. restrict. 0,626% Security, vol. 9, no. 6, pp. 712-723, 2010.
Swr. acc. no aut. 0,026% Fig. 3 [8] H.Cam, P.A. Mouallem, R.E. Pino, Alert Data Aggregation
Spyware I 0,251%
Distribuci
Spyware IIon de
Distribucin
correlacion de
0,439% Acierto en primera
alertas poropcin
naturaleza. and Transmission Prioritization over Mobile Networks, Network
Botnet 0,91% Science and Cybersecurity, Advances in Information Security,
89,10% vol. 55, pp. 205-220, 2014.
Ofuscado 0,14%
73,10% [9] A.A. Amaral, B.B. Zarpelao, L.S. Mendez, J.J.P.C. Rodrigues,
Gusano 1,6%
Distribucin Acierto en primera opcin 94,40% M.L.P. Junior, Inference of network anomaly propagation us-
Driver by 23,18% ing spatio-temporal correlation, Journal of Network and Com-
Botnet 0,91% 83,70%
89,10%
Adware 30% puter Applications, vol. 35, no. 6, pp. 1781-1792, 2012.
73,10% 91,20%
Ofuscado 0,14%
Spyware 43,2% [10] T. Chen, X. Zhang, S. Jin, O. Kim, Efficient classification us-
Gusano 1,6% 71,30% 94,40% ing parallel and scalable compressed model and its application
Virus 0,24%
Driver by 23,18% 83,10%
83,70% on intrusion detection, Expert Systems with Applications, vol.
Troyano 0,73%
Adware 30% 94,50% 41, no. 13, pp. 5972-5983, 2014.
91,20%
Spyware 43,2% [11] L. Zhaowen, L. Shan, M. Yan, Real-Time Intrusion Alert Cor-
71,30% relation System Based on Prerequisites and Consequences,
Virus 0,24%
83,10% in Proceedings of the 6th International Conference on Wire-
Troyano 0,73%
94,50% less Communications Networking and Mobile Computing
(WiCOM), Chengdu, China, 2010, pp. 1-5.
[12] A.A. Ramaki, M. Amini, R.E. Atani, RTECA: Real time
Fig. 4 episode correlation algorithm for multi-step attack scenarios
Distribucion de correlacion de secuencias. detection, Computers & Security, vol. 49, pp. 206-219, 2015.
[13] M. Albanese, S. Jajodia, A. Pugliese, V.S. Subrahmanian,
Scalable Analysis of Attack Scenarios, in Proceedings of the
16th European Symposium on Research in Computer Security
(ESORICS), Leuven, Belgium, 2011. Lecture Notes in Com-
VI. Conclusiones puter Science, vol. 6879, pp. 416-433, 2011.
[14] S.O. Al-Mamory, H. Zhang, IDS alerts correlation using
Se ha introducido un marco para la correlacion de aler- grammar-based approach, Journal in Computer Virology, vol.
5, no. 4, pp. 271-282, 2008.
tas emitidas por sistemas de deteccion de malware en re- [15] K. Alsubhi, I. Aib, R. Boutaba, FuzMet: a fuzzy logic based
des basados en la identificacion de anomalas en su carga alert prioritization engine for intrusion detection systems, In-
ternational Journal of Network Managment, vol. 22, no. 4, pp.
util. En el se integran las estrategias de analisis y mod- 263-284, 2012.
elado del sensor a complementar. Su eficacia ha sido de- [16] H.T. Elshoush, I.M. Osman, Intrusion Alert Correlation
mostrada al correlacionar alertas emitidas tras el analisis Framework: An Innovative Approach, in Proceedings of the
IAENG World Congress on Engineering, London, U.K, 2012.
de trafico real de la UCM. Pero a pesar de los buenos Lecture Notes in Electrical Engineering, vol. 229, pp. 405-420,
resultados, su precision y rendimiento presentan mucha 2013.
dependencia de las caractersticas de su instanciacion (tal [17] S.H. Ahmadinejad, S. Jalili, M. Abadi, A hybrid model for
correlating alerts of known and unknown attack scenarios and
y como sucedio con la sobrecarga del sistema al desplegar updating attack graphs, Computer Networks, vol. 55, no. 9,
un algoritmo genetico en su ultimo nivel). Ademas es un pp. 2221-2240, 2011.
marco que integra parte de la estrategia de analisis del [18] R. Shittu, A. Healing, R. Ghanea-Hercock, R. Bloomfield, M.
Rajarajan, Intrusion alert prioritisation and attack detection
sensor que complementa, situacion que dificulta su escal- using post-correlation analysis, Computers & Security, vol. 50,
abilidad. Consecuentemente, el futuro trabajo se centrara pp. 1-15, 2015.
en optimizar las tecnicas de clasificacion aplicadas.
71
JNIC2015 Quinta sesion: Artculos cortos - Seguridad en Redes, ataques, contramedidas y criptografa
Rational Protection Against Timing Attacks

Extended Abstract*
Goran Doychev Boris Kopf

IMDEA Software Institute IMDEA Software Institute
goran.doychev@imdea.org boris.koepf@imdea.org
AbstractTiming attacks can effectively recover crypto- A. Game-Theoretic Solution

graphic keys. Defensive protections such as constant-time imple-
mentations introduce performance penalties. Hence, a balance is On a technical level, we identify the optimal countermea-
needed between performance and security against timing attacks. sure configuration as an equilibrium of a two-stage (Stackel-
We propose a systematic approach for choosing a protection, berg) game between two rational players: an adversary and
on the example of discrete-log-based cryptosystems. The chosen a defender. The adversary strives to maximize the probability
protection is an equilibrium in a game-theoretic model. To enable of key recovery, by distributing bounded resources between
the equilibrium computation, we derive novel bounds on the timing measurements and computational search for the key.
key-recovery probability, as a function of the applied protection The defender strives to minimize the cost of protection, while
and attack strategies of timing adversaries. We demonstrate our maintaining a certain security level given in terms of an upper
approach on libgcrypts ElGamal implementation, determining
situations where the optimal protection is either a leaky or
bound on the probability of adversary success. The defenders
constant-time implementation. means to achieve this are the choice of the key length and the
configuration of the countermeasure.
I. Motivation
B. Bounds on Probability of Key Recovery
Side-channel attacks break the security of systems by
exploiting signals that are unwittingly emitted by the imple- At the heart of the equilibrium computation are novel
mentation. Examples of such signals are the consumption of bounds for the probability of key recovery in the presence
power [6], memory [4], and execution time [5]. Execution time of side-channel information. We derive these bounds in the
is a particularly daunting signal because it can be measured generic group model and under the assumption that the cryp-
and exploited from a long distance [1], which opens the door tosystem is based on discrete logarithms and protected against
for a potentially large number of attackers. timing attacks by an idealized form of input blinding.
In theory, one can get rid of timing side channels by Our starting point is an existing upper bound for the amount
avoiding the use of secret-dependent control flow and of of information contained in n timing measurements, when the
performance-enhancing features of the hardware architecture, execution time is discretized [7]. The technical challenge we
such as caches and branch prediction units. However, this face is to turn this bound into a guarantee against an adversary
defensive approach comes at the price of a performance that can mount a combined timing/algebraic attack. We identify
penalty. In practice, one is hence faced with the problem of unpredictability entropy [3] as a suitable tool for this task. In
striking a balance between performance and security against particular, unpredictability entropy satisfies a chain rule [8],
timing attacks. which limits the extent to which bounded leakage can decrease
the hardness of a computational problem. We then cast Shoups
lower bound for computing discrete logs in generic groups [9]
II. Resolving Security vs. Performance Trade-Offs in terms of the unpredictability entropy w.r.t. an adversary
In this paper we present a game-theoretic approach for who can perform m group operations. Finally, we connect the
solving this problem. The key novelty of our approach is a leakage bound with the bound for the discrete log to obtain
simple and practical model of the side-channel adversary as the desired bound (in terms of n and m) for combined side
a player that can distribute the available resources between channel/algebraic adversaries.
timing measurements and offline search for the secret. Our
approach is focused in that we consider only cryptosystems
based on discrete logarithms and input blinding as a coun- III. Case Study
termeasure, yet it is comprehensive in that it goes all the way
from formal modeling to identifying the optimal protection for We put our approach to work in a case study where we
a library implementation of ElGamal. A highlight of our results seek to optimally configure countermeasures against timing
is that we are the first to formally justify the use of a fast but attacks in the libgcrypt 1.6.1 ElGamal implementation. Ex-
(slightly) leaky implementation over a defensive constant-time perimentally, we identify optimal choices of key lengths and
implementation, for some parameter ranges. countermeasure configurations that guarantee the same degree
of security as a constant-time implementation using a reference
The full version of this paper was published in the Proceedings of the 28th key size. We do this for realistic server configurations, and
IEEE Computer Security Foundations Simposium, 2015 [2]. target commonly used key lengths. In the course of our
72
experiments we observe that the time of deployment of a key, implementation allowing two distinct running times (which
or the number allowed connections per second (which we call we call buckets). In both figures, a cheaper implementation
access rate) can influence which configuration is optimal: the constitutes the defenders optimal protection strategy for a set
defensive, constant-time implementation with a short key, or of parameter configurations.
the more aggressively tuned and leaky implementation with a
longer key. The variation in the cost of the two-bucket implemen-
tations is explained in the following. When increasing the
key deployment time, the adversary has more opportunities
1.15
to make timing measurements, which leads to an increased
1.1 timing leak; as the defender requires a fixed level of security,
1.05 he compensates for this higher leak by increasing the key size,
# instructions 108
1 which leads to an increase in cost. As shown in Figure 1,

0.95
for longer key deployment times (over 120 days), the cost
0.9
of increased key may supersede the cost of a constant-time
0.85 implementation. In contrast, as shown in Figure 2, for a
0.8 constant time scenario with a bigger reference key size and a lower access
0.75 2 buckets rate, a leaky implementation provides a cheaper protection than
0.7 a constant-time implementation even for key deployment times
1 14 30 60 120 180 240
of over 10 years.
key deployment time (in days)
Fig. 1: Average cost (in number of CPU instructions) of IV. Summary of Contributions
ElGamal decryption, for varying key deployment time (in In summary, our contributions are conceptual and practical.
days). The results are given for a reference key size of 1024 Conceptually, we combine game theory with novel, quanti-
bits, and access rate of 100 accesses per second. tative security guarantees to tackle the problem of system-
atically choosing the optimal balance between security and
performance. Practically, we perform a case-study on a realistic
ElGamal implementation, where we illustrate how our tech-
7
niques can be used to identify cost-effective countermeasure
6.5 configurations.
# instructions 108
6
5.5 References
5
[1] D. Brumley and D. Boneh. Remote timing attacks are practical.
4.5 Computer Networks, 48(5):701716, 2005.
4 constant time
[2] G. Doychev and B. Kopf. Rational Protection Against Timing Attacks. In
Proc. 28th IEEE Computer Security Foundations Symposium (CSF15).
3.5 2 buckets
IEEE, 2015.
3 [3] C.-Y. Hsiao, C.-J. Lu, and L. Reyzin. Conditional computational
1 year 4 year 7 years 10 years 13 years entropy, or toward separating pseudoentropy from compressibility. In
key deployment time EUROCRYPT, pages 169186. Springer, 2007.
[4] S. Jana and V. Shmatikov. Memento: Learning secrets from process
Fig. 2: Average cost (in number of CPU instructions) of footprints. In SSP, pages 143157. IEEE, 2012.
ElGamal decryption, for varying key deployment time (in [5] P. Kocher. Timing Attacks on Implementations of Diffie-Hellman, RSA,
days). The results are given for a reference key size of 2048 DSS, and Other Systems. In CRYPTO, pages 104113. Springer, 1996.
bit, and access rate of 10 accesses per second. [6] P. Kocher, J. Jaffe, and B. Jun. Differential power analysis. In CRYPTO,
pages 388397. Springer, 1999.
[7] B. Kopf and M. Durmuth. A provably secure and efficient countermea-
Examples of our practical findings are shown in Figure 1 sure against timing attacks. In CSF, pages 324335. IEEE, 2009.
and Figure 2, which give the cost (i.e., running time mea- [8] S. Krenn, K. Pietrzak, A. Campus, A. Wadia, and D. Wichs. A
sured in number of CPU instructions) of ElGamal decryption, counterexample to the chain rule for conditional hill entropy. 2014.
when varying the key deployment time. We compare two [9] V. Shoup. Lower bounds for discrete logarithms and related problems.
implementations: a constant-time implementation and a leaky In EUROCRYPT, pages 256266. Springer, 1997.
73
1
Resource Monitoring for the Detection of Parasite

P2P Botnets
Rafael A. Rodrguez-Gomez, Gabriel Macia-Fernandez, and Pedro Garca-Teodoro
E.T.S. de Ingeniera Informatica y de Telecomunicacion, Universidad de Granada
C/Periodista Daniel Saucedo Aranda s/n, E-18071, Granada
{rodgom, gmacia, pgteodor}@ugr.es
The problem of detection of P2P botnets has been de- ing shared should be short, due to the fact that this file is
nounced as one of the most difficult ones, and this is even directly pointing to all the members of the botnet, expos-
sounder when botnets use existing P2P networks infras- ing them to known detection systems [3] [4].
tructure (parasite P2P botnets). The main intuition be- These two rules imply that, during the first phase of
hind our proposal1 of detecting P2P parasite botnet re- a botnet resource sharing, a high level of popularity is
sources is the fact that resources shared by legitimate users expected and after that all the bots will stop sharing the
in a P2P network (legitimate resources) will be accessed in botnet resource in a short period of time.
a different way than resources shared by nodes belonging
to a botnet (botnet resources). For this reason, we are in- Resource-based Botnet Detection: Architecture and Oper-
terested in building models for both legitimate and botnet ation
resources. Then, we will suggest a detection architecture The architecture of our proposal for a resource-based
that relies on these models to detect botnet resources in botnet detection system is shown in Fig. 1. The data
P2P networks. from a resource monitoring system for Mainline network
Our models are based on the evolution of the number of is feeded into our system, where the three typical stages
P2P nodes that share a specific resource over time. This are considered:
way, let nr (k) be the number of nodes sharing a resource
r during a period of time of duration which ends at Preprocessing
k , k = 1, ..., K.
Based on the behavior of nr (k) for legitimate popular Both the training and detection processes require a pre-
P2P resources, our main hypothesis is that nr (k) will dif- vious common stage to preprocess the data given by the
fer substantially from these patterns when r represents resources monitoring system. We obtain nr , which rep-
a botnet resource. This means that the detection of po- resents a low pass filtering of the time series evolution of
tential botnet resources would be possible by monitoring the number of peers sharing r.
nr (k) and detecting deviations from the expected tempo-
Training
ral sharing behavior.
The key problem to verify this hypothesis is that it is First, a normality model is built to represent the shar-
not possible to use experimental traces from botnet re- ing evolution of legitimate resources in the monitored P2P
sources. To the best of our knowledge, nowadays there network. As we are interested in identifying those re-
are no real active parasite botnets reported, possibly due sources that exhibit a high fall in the number of peers
to the fact that it is extremely difficult to detect them by that share them and present a reduce sharing duration,
existing methods. For this reason, our strategy is to build we extract the fall threshold and the sharing duration of
a theoretical model for the sharing evolution of botnet the system.
resources, assuming that botmasters must follow certain
rules to maintain and operate their botnets. Here, it is Detection
important to consider two properties that could not be cir- Once the model is obtained, every resource shared in the
cumvented by botmasters without degrading botnets be- P2P network is analyzed, in order to determine potential
havior or exposing them to active detection mechanisms: deviations with respect to the expected behavior. In such
1. Botnet resources must be popular resources. a case, an alarm is triggered indicating the detection of
Botnets can be composed of a large number of infected a malicious, botnet resource. The core of the detection
machines (boots) [2]. When botmasters update the bot system corresponds to the module of abnormal fall and
code or send commands, all the bots must download a duration detection.
given botnet resource which contains those commands or
updates. This implies that a large number of downloads I. Experimental Evaluation
will be observed for that botnet resource.
In order to make the training, we collect the evolution
2. Botnet resources must have a short life-time.
of 34,075 resources in the Mainline network and we se-
The period of time during which a botnet resource is be-
lect 14,869 of them which are corroborated as legitimate.
1 This work is a brief summary of the paper [1]. Additionally, 42,000 synthetic bot resources following our
74
2
Fig. 1: Functional architecture of the detection system.
=0.07; =0.15
100 Discovering Botnet Patterns
=0.12; =0.28
80 We have also carried out further experiments to check

the system when new, unknown resources are observed
TPR (%)
60 and once the detector is completely tuned. For that, we

used the remaining 19,206 resources obtained in the mon-
40 =1.2; =3.7
itoring process but not previously used for training and
20 testing our system. These resources could correspond ei-
ther to legitimate or to botnet resources, as we only know
0 that they are not explicitly recommended as valid by users.
0 0.1 0.2 0.3 0.4 0.5 0.6 0.7
FPR (%) Our system raised alarms for only three of the monitored
resources, which clearly behaved as outliers.
Fig. 2: ROC for our detection system by varying and . Fig. 3 shows nr for these three resources. Here we can
check that all of them are shared by a large amount of
peers during a short period of time. Specifically, res1
6
x 10
5
reaches a maximum of 523,883 users and the sharing phase
res1
res2
of this resource lasts less than 5 hours. The same hap-
5 res3 pens with res2, with less but still significative number of
4
peers (28,897). Regarding res3, the duration of the shar-
ing phase is longer, but still very short (only 24 hours),
nr(k)
3
and the number of peers is really significative (436,963).
2 These behaviors are really suspicious of being due to bot-
net resources sharing, as they follow the expected behavior
1
regarding abrupt falling and short-duration in sharing.
0
0 10 20 30 40
k (hours) Acknowledgments
This work has been partially supported by Spanish Gov-
Fig. 3: Time evolution of the three resources detected as
ernment through project TIN2014-60346-R.
abnormal.
Referencias
[1] R. A. Rodrguez-Gomez, G. Macia-Fernandez, P. Garca-
Teodoro, M. Steiner, and D. Balzarotti, Resource monitoring
for the detection of parasite {P2P} botnets, Computer Net-
model based on popularity and short-life time are gen- works, vol. 70, no. 0, pp. 302 311, 2014.
erated. The existence of both legitimate and botnet re- [2] M. A. Rajab, J. Zarfoss, F. Monrose, and A. Terzis, My botnet
sources allows to obtain a ROC curve representing the is bigger than yours (maybe, better than yours): why size esti-
mates remain challenging, in Proceedings of the first conference
performance of our detection system (see Fig. 2). We ob- on First Workshop on Hot Topics in Understanding Botnets.
tain this ROC by varying and which are the factor to USENIX Association, 2007.
calculate the fall threshold, Fth , and the duration thresh- [3] S. Shin, Z. Xu, and G. Gu, EFFORT: Efficient and Effec-
tive Bot Malware Detection, in Proceedings of the 31th An-
old, Dth . nual IEEE Conference on Computer Communications (INFO-
COM12), 2012.
From these results, we select a value of equal to 1.2 [4] J. Zhang, R. Perdisci, W. Lee, U. Sarfraz, and X. Luo, Detect-
and a value of equal to 3.7, which obtain false positive ing stealthy P2P botnets using statistical traffic fingerprints, in
Dependable Systems & Networks (DSN), 2011 IEEE/IFIP 41st
rates equal to zero, in order to minimize the number of International Conference on. IEEE, 2011, pp. 121132.
alarms while being sure about the malicious nature of the
events detected.
75
Multigraph Project: First Steps towards the Definition

of a Multiple Attack Graph Model Simulator
Mattia Zago, Juan Jos Andreu Blzquez, Manuel Gil Prez, Gregorio Martnez Prez

University of Verona, University of Murcia
mattia.zago@studenti.univr.it, {juanjose.andreu, mgilperez, gregorio}@um.es
AbstractThis paper presents the design and implementation A. Core class implementing a model
of a software component acting as a simulator and aiming to help The model implementation is defined by a set of classes
in the deployment of novel attack graph models. It is also intended
to help comparing these novel approaches with already existing including one core class that has to implement a common
designs and implementations. It has also as an objective to interface named DecisionInterface. This interface includes
determine those aspects of existing models that have not been different methods that enable the simulator to do the real
completely defined or specified by their authors and thus may continuous interaction with the model and provide the results
need some completion before being used in lab or real attack based on such interaction.
scenarios.
The core class is working in a multi-thread environment and
I. INTRODUCTION AND MOTIVATION all the additional classes required by any particular model to be
In the literature, there exist several approaches to risk implemented have to communicate with this core class.
analysis through attack-graph based models as they represent Several core classes representing each one a different model
an interesting data structure that allows modelling multiple already implemented in the simulator are provided to the user
ways of penetrating a network. However, selecting one or of the simulator when it is first run as depicted in Fig. 1.
another approach to be consider in a potential lab or real B. Configuration
scenario seems to be a complex task mostly because some of
these models are just defined theoretically and simple
experimentation has been provided on them. Additionally, it
seems to be a complex task to compare two models to
determine, under certain equivalent circumstances, which of
the two is performing better.
With this aim in mind a software component defining the
basic data structures and general interfaces of the detection and
reaction parts is defined as part of the Multigraph project, a
joint effort between the University of Verona and the
University of Murcia, and whose early results are being
described as part of this paper. The main target of the project is
to build a simulator allowing security researchers and
practitioners to implement different models and try to compare
them, when possible, using similar assumptions. It is also
Fig. 1. Simulator main window
intended to provide and describe a set of common interfaces
that any potential researcher willing to design, implement and As each attack graph model is having a different set of
test a new model in the future could follow as a basic template parameters, another important aspect considered while
to guide its design and deployment. designing the simulator was the definition of different template
II. HIGH-LEVEL VIEW OF THE STRUCTURE OF THE SIMULATOR windows that any designer of a model could use to get the key
values that need to be provided to make the model run under
The attack graph model simulator aims to provide a tool that
certain circumstances.
can analyse a specific network by means of different models,
As an example in Fig. 2 some of the values required by the
offer the user (e.g., either a security specialist or a system
model [1] to run are depicted, together with some of the most
administrator) a graphical visualization of the graph, and
relevant actions that can be considered to provide certain
produce results that are consistent and can be easily compared
dynamism to the model execution while running it either step
to one another, independently of the model used for the
by step or as a whole.
analysis. To this end, the models are implemented following a
C. Visualization
common structure and interface, which allows the simulator to
The simulator has been also designed to provide a graphical
interact with them.
representation of the model and the graph being analysed
during execution. This enables the user to see a representation
76
nodes through different colours and shapes. We are also

intending to provide a multi-layered graph with abstraction and
folding capabilities.
III. FIRST SET OF LESSONS LEARNT
The first issue that have emerged from this work is related
with the innate difficulties while comparing different attack
graph models. This is mostly due to the lack of a common
structure or even a similar approach to the problem. There are
several attempts to create a standard way to manage this
problem, but each one has some issues at a certain point.
As a matter of example, and based on our design and
implementation experience with different models existing in
the simulator, there is a scale for the risk management (i.e.,
low, medium, high) but it is not mandatory or even
recommended. The same happens inside the network analysis:
how it should be defined the probability of a service being
really compromised? Which should be the target: services,
machines or both? And, what happens if the system is
distributed or virtualized and then including different tenants?
In fact, as part of this effort, it has been also faced the
problem that even taking two models with the same basic
assumptions (e.g., same graph structure: services as nodes,
exploits as edges, countermeasures as nodes and evidences as
attributes), the outputs of these models can be different.
Fig. 2. Model configuration frame This is leading to the identification of a major issue when
considering the comparison between different attack graph
of the model and interact with it. This is achieved through the models, which is the lack of a standard normalized way to
use of a graph visualization class that receives as an input the approach the problem, including specially the way to provide
nodes and edges of the model, and presents them on a screen. the input to the model and the way the model is describing its
This visualization is using the library JGraphX [2] to display outputs.
the graph.
An example of the representation of one sample graph for IV. CONCLUSION
the model [1] is provided in Fig. 3. This paper describes a first attempt towards the creation of a
In our simulator a given attack graph model can provide a simulator willing to help with the definition of new attack
graph models. A first version of this simulator has been created
and several models have been already implemented using it.
Moreover, a first comparison between different existing
proposals has been performed. As future work, we are planning
to include new implementations of attack graph models and
improve the current definition of the common interfaces, as
well as providing general access to researchers to the
simulator, so it can be used to design novel approaches.
ACKNOWLEDGEMENTS
This work has been partially funded with the support from
the Spanish MICINN (project DHARMA, Dynamic
Heterogeneous Threats Risk Management and Assessment,
Fig. 3. Example of graph visualization for a given model with code TIN2014-59023-C2-1-R) and the European
basic graphical interface to interact with it adding and deleting Commission (FEDER/ERDF).
nodes and edges, changing the properties of these, etc. Whether
REFERENCES
or not this should be able to be done at any moment during
runtime, or only at the beginning, depends on the specific [1] N. Poolsappasit, R. Dewri, and I. Ray, Dynamic security risk
management using bayesian attack graphs, IEEE Transactions on
features of the model being used. Dependable and Secure Computing, vol. 9, no. 1, pp. 61-74,
In addition to that, the current version is able to represent the January/February 2012.
data at the lowest level and it represents the different classes of [2] JGraphX library, [Online] https://github.com/jgraph/jgraphx.
77
Seguridad definida por software en subestaciones

electricas
Elas Molina, Armando Astarloa, Eduardo Jacob.
Departamento de Ingeniera de Comunicaciones,
Universidad del Pas Vasco (UPV/EHU)
Alameda Urquijo s/n. 48013, Bilbao - Bizkaia
{elias.molina, armando.astarloa, eduardo.jacob} ehu.es
ResumenEl despliegue de Smart Grids supone la integracion Filtrado de Balanceo Calidad de

Tunelado Monitor Aislamiento
de las redes de comunicaciones con la red electrica, siendo trfico de carga Servicio
necesario establecer mecanismos de seguridad que aseguren la

robustez de los servicios provistos. En este trabajo se propone
una plataforma basada en el paradigma Software-Defined
Networking (SDN) para la gestion de infraestructuras que Ports Packet sampling
implementan el estandar IEC 61850, orientado a las Queues Counters
comunicaciones de datos en las instalaciones de suministro

Topology Service Load Balancing Virtual Network Filter
Tunnels
Static Flow Pusher Link Discovery Firewall
electrico. La arquitectura propuesta incluye funcionalidades de Forwarding Port Down Reconc. Device manager
monitorizacion y control que permiten implementar medidas de Network Operating System

seguridad a traves de una interfaz comun.
Fig. 1: Plataforma de control y gestion de red.
Palabras ClaveIEC 61850, OpenFlow, Seguridad, Smart
Grid, Software-Defined Networking
I. INTRODUCCI ON Monitorizacion: bajo el estandar sFlow [5] un sistema

puede recoger contadores y muestras de paquetes de los
El concepto Smart Grid engloba los procesos de switches de la red para detectar el estado de la red y actuar
supervision y control del sistema electrico, soportados por las en consecuencia.
tecnologas de comunicacion e informacion. Se trata, pues, de Gestion: la configuracion de los switches OpenFlow es
aplicaciones que requieren prestaciones en tiempo real con un realizada con el protocolo OVSDB [6].
alto grado de fiabilidad y seguridad. El estandar IEC 61850 La Figura 1 remarca los modulos del NOS que permiten
Power Utility Automation [1] define los servicios y requisitos la administracion de la red en cuanto a seguridad se refiere,
para las comunicaciones que tienen lugar en las subestaciones implementando funciones tales como aislamiento de trafico,
electricas. La utilizacion de tecnologas SDN para la gestion deteccion de anomalas o cortafuegos.
de tales entornos crticos permite beneficiarse del concepto de
programabilidad de la red. En las redes basadas en SDN el III. PROPUESTA PARA LA GESTI ON DE LA
plano de control esta desacoplado del de datos y la inteligencia SEGURIDAD DE SISTEMAS IEC 61850
de red esta logicamente centralizada, aportando una vision La implementacion de estrategias de ciberseguridad es
global de la red con el objetivo de establecer las condiciones prioritaria para el desarrollo de Smart Grids. La especificacion
adecuadas en la misma. IEC 62351-6 [7] incluye metodos de seguridad para los
En el presente trabajo se extraen los aspectos de diferentes perfiles de comunicacion incluidos en el IEC 61850,
ciberseguridad abordados en el artculo previo [2], en el cual tales como algoritmos criptograficos o la certificacion de
el paradigma SDN es empleado para implementar prestaciones autenticacion. Sin embargo, dados los exigentes requisitos
tales como filtrado de trafico, balanceo de carga o calidad de de latencia de los protocolos definidos por el IEC 61850
servicio en sistemas basados en el estandar IEC 61850. (Sampled Value, SV, y Generic Object Oriented Substation
Events, GOOSE, son protocolos orientados a soportar ciertos
II. ARQUITECTURA SDN
servicios que requieren tiempos de transferencia inferiores a
La arquitectura propuesta constituye un Network Operating 3 ms [1]), la encriptacion no se recomienda. Ademas, hay
System (NOS), basado en tecnologas estandarizadas, que ambiguedad sobre la necesidad de asegurar la integridad de
sirve como punto comun de configuracion de polticas los datos y la autenticidad del emisor [7]. A continuacion, se
seguridad y calidad de servicio. El NOS puede dividirse en proponen diferentes polticas de red y controles de seguridad
tres bloques funcionales: apropiados para mitigar posibles vulnerabilidades.
Control: mediante el protocolo OpenFlow [3] un
controlador puede decidir el encaminamiento de los diferentes Aislamiento de trafico
flujos que llegan a un switch. Para lo cual, anade entradas De acuerdo con [8], la segmentacion de nivel 2 y las listas
en las tablas de encaminamiento del switch, definidas a de control de acceso basadas en MAC son efectivas para
traves de diferentes campos (puerto de entrada y cabeceras restringir el trafico de datos a los diferentes dominios de
de paquetes), prioridades e instrucciones asociadas a cada las infraestructuras electricas. La plataforma propuesta facilita
flujo de entrada. En concreto, ha sido utilizado el controlador la segmentacion de red haciendo uso del modulo Virtual
Floodlight [4]. Network Filter, el cual permite crear redes logicas basadas
78
RED LGICA
HMI
HTTP MAC.C
VLAN.Z
RED LGICA
SAMPLE VALUE
SV MAC.B
MU
VLAN.X
RED LGICA
GOOSE
GOOSE IED Y MAC.A
VLAN.Y
RED LGICA
GOOSE
GOOSE IED X MAC.A
VLAN.X
Fig. 3: Deteccion de un ataque DoS.
INFRAESTRUCTURA
cuando este excede el umbral predeterminado (100 paquetes
FSICA
IP por segundo en este caso).
Fig. 2: Ejemplo de segmentacion de red basado en
IV. CONCLUSIONES Y L INEAS FUTURAS
direccionamiento MAC y VLAN.
El modelo Smart Grid es un claro ejemplo de
infraestructura crtica en la que la gestion de la seguridad
en direccionamiento MAC. Ademas, en caso de usar VLAN es esencial para asegurar las prestaciones de la red. Para
(IEEE 802.1Q), los identificadores de cada red virtual pueden disenar y mantener subestaciones electricas es necesario
reutilizarse. La Figura 2 muestra un diagrama de ejemplo proveer polticas de seguridad y diferenciacion del trafico
donde un red es segmentada en diferentes redes logicas de datos. Con dicho objetivo, una plataforma basada en
basados en diferentes flujos que tienen lugar en subestaciones tecnologas SDN permite configurar los elementos de red a
IEC 61850. As, dicha tecnica de aislamiento es un efectivo traves de una interfaz comun. La arquitectura propuesta se
complemento a la segregacion del trafico basado en VLAN. beneficia de la programabilidad de las SDN, automatizando la
configuracion de recursos y aportando tecnicas de diagnostico
Firewall y control de spoofing de las condiciones de red.
Al no tener que implementar mecanismos de autenticacion Dado que las funcionalidades presentadas estan basadas en
y encriptado para las tramas SV y GOOSE, diferentes estudios filtrados de flujos estaticos (stateless), como acciones futuras
[9,10] han demostrado como la seguridad de un sistema IEC se plantea la incorporacion de reglas de filtrado de paquetes
61850 puede estar comprometida. En particular, los autores con estado.
coinciden en proponer ataques de tipo MAC spoofing. Con el AGRADECIMIENTOS
proposito de solventar tales problemas, el modulo Firewall de El trabajo descrito ha sido posible gracias al programa
Floodlight es usado para limitar el trafico entrante de acuerdo ZABALDUZ, habiendose producido en la Unidad de
a la direccion MAC origen, puerto y switch. Por tanto, la Formacion e Investigacion UFI11/16 financiada por la
plataforma permite establecer Listas de Control de Acceso Universidad del Pas Vasco (UPV/EHU).
(ACL) estaticamente. Ademas, haciendo uso del modulo
Device Manager, el controlador restringe continuamente la R EFERENCIAS
conexion de dispositivos con direcciones MAC unvocas (la [1] International Electrotechnical Commission TC57, Communication
networks and systems for power utility automation, IEC 61850. 2011.
primera en conectarse), lo que favorece la proteccion contra [2] E. Molina, E. Jacob, J. Matias, N. Moreira, and A. Astarloa, Using
ataques de spoofing y otros problemas tradicionales que Software Defined Networking to manage and control IEC 61850-based
pudieran ocurrir con direccionamiento duplicado. systems, Computers Electrical Engineering, 2014.
[3] Open Networking Foundation (ONF), OpenFlow Switch Specification,
version 1.5.0, Open Networking Foundation (ONF), Diciembre 2014.
Deteccion de anomalas [4] B. S. Networks. Floodlight openflow controller. [Online]. Available:
http://www.projectfloodlight.org/floodlight/
En la arquitectura propuesta el colector sFlow puede [5] P. Phaal, S. Panchen, and N. McKee, InMon Corporations sFlow: A
detectar que un umbral este siendo sobrepasado. Lo cual es Method for Monitoring Traffic in Switched and Routed Networks, RFC
comunicado al controlador OpenFlow para que este establezca 3176, IETF, Sep. 2001.
las acciones pertinentes. As, la plataforma permite establecer [6] B. Pfaff and B. Davie, The Open vSwitch Database Management
Protocol, RFC 7047, IETF, 2013.
flujos (definidos por Ethertype, direcciones MAC/IP, VLAN, [7] IEC TC57, Power systems management and associated information
puertos de TCP/UDP, etcetera) y determinar umbrales de exchange - Data and communications security - Part 6: Security for
IEC 61850, IEC TS 62351-6 ed.
monitorizacion asociados a tales flujos. Por consiguiente, [8] T. Janca, Utility ethernet network architecture: Networked electrical
los diferentes nodos de la red pueden ser protegidos contra exchange topology-next, in Sarnoff Symposium (SARNOFF), 2012 35th
ataques de denegacion de servicio (DoS) desde uno o varios IEEE, May 2012, pp. 16.
orgenes (DoS distribuido). [9] J. Hoyos, M. Dehus, and T. Brown, Exploiting the goose protocol: A
practical attack on cyber-infrastructure, in Globecom Workshops (GC
La Figura 3 ejemplifica una situacion en la que se detecta un Wkshps), 2012 IEEE, Dic 2012, pp. 15081513.
ataque DoS, donde un nodo es saturado con paquetes ICMP [10] N. Kush, E. Ahmed, M. Branagan, and E. Foo, Poisoned goose:
Exploiting the goose protocol, in Twelfth Australasian Information
del tipo Echo Request (ping flood). Puede observarse una Security Conference (AISC 2014), ser. CRPIT, U. Parampalli and
primera fase en la que el control de DoS esta deshabilitado y I. Welch, Eds., vol. 149. Auckland, New Zealand: ACS, 2014, pp.
una segunda en la que el controlador limita el trafico entrante 1722.
79
1
VERITAS: Visualizacion de Eventos en Red

Inteligente para el Tratamiento y Analisis de la
Seguridad
Jose Camacho, Gabriel Macia-Fernandez, Pedro Garca-Teodoro
Dpto. Teora de la Senal, Telematica y Comunicaciones, Universidad de Granada (Spain)
{josecamacho,gmacia,pgteodor}@ugr.es
Roberto Theron
Universidad de Salamanca (Spain)
theron@usal.es
Resumen Los sistemas SIEM tienen como finalidad la and Technology en sus versiones de 2012 y 2013, organi-
agregacion y analisis de datos procedentes de los diversos zados por la Visual Analytics Community.
mecanismos de seguridad desplegados en un entorno de red,
a fin de gestionar potenciales incidentes. Entre los retos Centrandonos en las caractersticas especficas de la de-
que deben afrontar los SIEM actuales podemos destacar teccion de anomalas en red, para el empleo eficiente de un
el manejo de grandes volumenes de datos y multiples y sistema SIEM, as como para poder extender su estrategia
heterogeneas fuentes de informacion. Tomando como base
resultados previos de los autores, en este trabajo se pro-
de seguridad a distintos entornos de redes (p.ej. redes cor-
pone una metodologa jerarquica de analisis multivariante porativas, redes inalambricas, redes celulares) y modelos
para su integracion en un SIEM, de modo que se consiga de negocio actuales (p.ej. la nube, Bring Your Own De-
el manejo de mayores cantidades de datos sin afectar las vice), podemos establecer los siguientes retos principales:
prestaciones de la deteccion.
1. Fusion efectiva de distintas fuentes de informacion, que
incluye la parametrizacion o parsing de los datos captura-
I. Seguridad en Red y Analtica Visual dos por los sensores.
Los sistemas de gestion de la informacion de seguridad 2. Mantenimiento de una alta capacidad de deteccion de
y eventos en red, o SIEM (del ingles Security Informa- anomalas evitando la tpica tendencia a presentar un alto
tion & Event Management) [1], constituyen una de las numero de falsos positivos.
herramientas actuales mas adoptadas en la lucha contra 3. Capacidad de analisis de grandes cantidades de datos
ataques a la seguridad en entornos de red. Entre los retos a altas velocidades.
que deben afrontar los SIEM actuales podemos destacar 4. Reduccion del volumen de trafico asociado a la seguri-
el manejo de grandes volumenes de datos registrados a dad ante el elevado volumen de trafico generado entre sen-
altas velocidades y la integracion de informacion proce- sores y SIEM.
dente de multiples fuentes de gran heterogeneidad (p.ej., 5. Combinacion de fuentes de informacion de seguridad
trazas de cortafuegos, trafico en red, alertas de IDS, etc.). asociada a sistemas finales (alarmas de antivirus, registros
Adicionalmente, los datos deben ser pre-procesados, agre- de aplicaciones y SO, cortafuegos de dispositivos, etc.)
gados y presentados al administrador de forma que este con los sensores de la red (cortafuegos de red, sniffers de
pueda comprenderlos y gestionarlos facilmente. Este pro- trafico, IDS, etc.).
blema coincide con la definicion dada en la literatura de En este contexto, las tecnicas basadas en el analisis
un problema Big Data, donde es necesario gestionar las estadstico multivariante para el analisis exploratorio de
conocidas cuatro Vs: variedad, volumen, velocidad y ve- datos o EDA (del ingles Exploratory Data Analysis) [6] y
racidad [2]. el control estadstico de procesos o SPC (del ingles Statis-
El emergente campo de la analtica visual (visual ana- tical Process Control) [7] pueden resultar extremadamente
lytics) trata de abordar las necesidades de descubrimiento utiles. Si bien la capacidad de deteccion de anomalas del
exploratorio en grandes volumenes de datos (Big Data) analisis multivariante es bien conocida en el area de moni-
[3], [4], [5]. Para ello, combina tecnicas de analisis au- torizacion de procesos industriales [8], [9], su aplicacion
tomatizado con visualizaciones interactivas para una efi- en seguridad en redes, aunque existente [10], es mas li-
caz comprension, razonamiento y toma de decisiones sobre mitada y presenta un menor desarrollo. Es precisamente
la base de conjuntos de datos muy grandes y complejos. en este marco que los autores han llevado a cabo algunos
La aplicacion de este tipo de tecnologas al campo de la desarrollos de deteccion de anomalas en redes basados
(ciber)seguridad es cada vez mayor, ejemplos de lo cual en tecnicas multivariantes, los cuales han evidenciado una
son el simposio VizSec (Visualization for Cyber Security, alta potencialidad [11].
http://www.vizsec.org/), dentro del prestigioso congreso
de visualizacion IEEE VIS (http://ieeevis.org/), as como II. VERITAS: Hipotesis y Objetivos
la seleccion de la ciberseguridad como tema central para La metodologa desarrollada en [11] ofrece una solucion
los retos del IEEE Symposium on Visual Analytics Science prometedora para los tres primeros retos de los sis-
80
2
se encuentra el SIEM, donde se dispone de herramientas

de analisis visual interactivo del sistema completo. La de-
teccion de anomalas se realiza de forma distribuida y a
distintos niveles de agregacion de datos.
Los sensores multivariantes son capaces de detectar
anomalas, pudiendo remitir de forma asncrona a los nive-
les superiores informacion detallada de diagnostico. A su
vez, si un nivel superior detecta una anomala en datos de
algunos de sus sensores multivariantes, puede realizar una
solicitud de informacion de diagnostico a dichos sensores.
De esta manera, unicamente la informacion anomala es
elevada a los niveles superiores hasta el SIEM, reduciendo
la cantidad de informacion de seguridad transmitida por
la red y permitiendo evaluar mayores cantidades de datos.
Fig. 1. SIEM multivariado distribuido. Las amenazas localizadas en ciertos dispositivos, como un
ataque de denegacion de servicio en un servidor, son sus-
ceptibles a ser detectadas en el sensor PCA de dicho dis-
temas SIEM listados con anterioridad. Ha surgido positivo. Finalmente, dicha arquitectura permite man-
as la propuesta I+D+i bautizada como VERITAS tener la privacidad de los niveles inferiores, si as se desea,
(acronimo de Visualizacion de Eventos en Red In- manteniendo el nivel de deteccion y diagnostico.
teligente para el Tratamiento y Analisis de la Seguri-
dad; http://nesg.ugr.es/veritas), la cual establece como Agradecimientos
hipotesis de partida:
Este trabajo esta financiado por el Ministerio de
H1. Las tecnicas multivariantes desarrolladas por el
Economa y Competitividad, con fondos FEDER, a traves
equipo de investigacion, en combinacion con las adecuadas del proyecto TIN2014-60346-R.
tecnicas de caracterizacion de la informacion y de analisis
visual interactivo, constituyen una metodologa de altas Referencias
prestaciones para la deteccion y diagnostico de anomalas [1] D.R.. Miller, S. Harris, A. Harper, S. VanDyke, and C. Blask,
en un SIEM. Security Information and Event Management (SIEM) Imple-
mentation, McGraw Hill Professional, 2010.
H2. Las extensiones jerarquicas del analisis multivari-
[2] M. Schroeck, R. Shockley, J. Smart, D. Romero-Morales, and
ante permiten desarrollar un sistema SIEM distribuido de P. Tufano, Analytics: The Real-World Use of Big Data, IBM
deteccion de anomalas, donde (a) las prestaciones de de- Institute for Business Value, IBM Institute for Business Value -
Executive Report, 2012.
teccion y diagnostico son equivalentes al sistema no dis- [3] A. Endert, M.S. Hossain, N. Ramakrishnan, C. North, P. Fiaux,
tribuido, y (b) se reduce el volumen de trafico de seguridad and C. Andrews, The Human is the Loop: New Directions for
en red. Visual Analytics , Journal of Intelligent Information Systems,
pp. 1-25, 2014.
H3. La reduccion del volumen de trafico de seguri-
[4] R. Santamara, R. Theron, and L. Quintales, BicOverlapper:
dad en la red supone una ventaja competitiva en sistemas Visual Analysis for Gene Expression , Bioinformatics, Vol. 30,
SIEM. No. 12, pp. 1785-1786, 2014.
[5] A. Gonzalez-Torres, and F.J. Garca-Penalvo, HumanCom-
H4. El esquema SIEM distribuido permite desacoplar puter Interaction in Evolutionary Visual Software Analytics ,
la deteccion del diagnostico de anomalas, de forma que (a) Computers in Human Behavior, Vol. 29, No. 2, pp. 486-495,
se mantienen las prestaciones originales y (b) se mejora la 2013.
[6] K.H. Esbensen, D. Guyot, F. Westad, and L.P. Houmoller, Mul-
privacidad del sistema. tivariate Data Analysis - In Practice , 5o Ed. Camo. ISBN:
82-993330-3-2, 2001.
Con estas hipotesis, el objetivo perseguido en VERITAS [7] A. Ferrer, Multivariate Statistical Process Control Based on
es disenar, implementar y evaluar una metodologa basada Principal Component Analysis (MSPC-PCA): Some Reflections
en el analisis multivariante para la deteccion y diagnostico and a Case Study in an Autobody Assembly Process , Quality
Engineering, Vol. 19, pp. 311-325, 2007.
distribuido de anomalas en red, que permita: [8] J. Camacho, and J. Pico, Online Monitoring of Batch Processes
- Aumentar la capacidad de deteccion de los SIEM ac- Using Multi-phase Principal Component Analysis , Journal of
tuales. Process Control, Vol. 16, No. 11, pp. 1021-1035, 2006.
[9] P. Nomikos, and F. MacGregor, Multivariate SPC Charts for
- Reducir el numero de falsos positivos. Monitoring Batch Processes , Technometrics, Vol. 37, No. 1,
- Mejorar la interpretacion de los eventos detectados. pp. 41-59, 1995.
- Reducir el volumen de trafico de seguridad en la red. [10] A. Patcha, and J.M. Park, An Overview of Anomaly Detection
Techniques: Existing Solutions and Latest Technological Trends
- Asegurar la privacidad del sistema resultante. , Journal of Computer Networks, Vol. 51, No. 12, pp. 3448-3470,
2007.
El sistema propuesto se ilustra en la Fig. 1, donde se [11] J. Camacho-Paez, G. Macia-Fernandez, J.E. Daz-Verdejo, and
destaca la distribucion en la red de los llamados sensores P. Garca-Teodoro, Tackling the Big Data 4 Vs for Anomaly De-
multivariantes. Estos analizan los parametros de la fuente tection, IEEE INFOCOM, 2nd. International Workshop on Se-
curity in Big Data (BigSecurity), pp. 506-511, Toronto (Canada),
de datos que reciben y generan informacion comprimida May 2014.
que, a su vez, envan a un concentrador superior. Este es-
quema se puede repetir las veces deseadas en una estruc-
tura jerarquica de N niveles. En lo alto de la jerarqua
81
Security services as cloud capabilities using MAS

Fernando De la Prieta, Alberto Lpez Barriuso and Juan M. Corchado
Universidad de Salamanca, Departamento de Informtica y Automtica, Plaza de la merced s/n, 37007, Salamanca (Espaa)
{fer, albarriuso, corchado}@usal.es
Luis Enrique Corredera de Colsa
Flag Solutions S.L., C/Bientocadas 12, 37002, Salamanca, (Espaa)
luisenrique@flagsolutions.net
Abstract- The digital signature solves partially the problem of This work has been previously published:
the validation of veracity of the digital resources because it
provides the characteristics of authentication, integrity and non- De la Prieta, F., Corredera, L. E., Snchez-Martin, A. J., &
repudiation. However, it has weakness in terms of availability, Demazeau, Y. (2014, January). An Agent-Based Cloud
confidentiality and changes control, besides the complexity on its Platform for Security Services. In PAAMS (Workshops) (pp.
usage. This paper presents the project DoyFE.es that is an agent- 333-343).
based platform deployed over a cloud system that provides cloud-
based services to guarantee the veracity of the communications
(email, web content and photographs).
I. INTRODUCTION the integration with the cloud platform and the MAS. Finally,
last section contains the conclusions.
Nowadays, there are many trials where evidences are based
II. CLOUD-BASED SECURITY SERVICES
on electronic documents (files, information, emails,
photographs, etc.). The majority of these documents have not Under the frame of DoyFe.es project, a set of services has
been digitally signed, so it is difficult to validate their been developed in order to guarantee the authentication,
truthfulness. In these cases, it is necessary to validate the integrity and non-repudiation, but also other open issues such
veracity of these evidences by means of forensic computer as availability, confidentiality and change control. To do so,
science techniques [1]. This process not only delays the trials, three main services have been created:
but also increases considerably their costs. These problems can Transmission and signed backup of emails. An active
be partially addressed by the users through the use of the inbox model is used to facilitate the usability of the
digital signature. Besides the electronic communications system. The process is very easy, because the end-user
advantages, digital signed documents have many advantages sends the email normally and only has to put in copy a
facing to non-electronic one (i.e. authentication, integrity and special email of the platform (doyfe@doyfe.es). The
non repudiation). processing includes the signing, timestamped and the
Despite the use of digital signature, there still are some storage of the email data (content, dates, addresses,
weaknesses in terms of (i) Availability, it depends directly on headers, attachments, images, etc.).
the end-users because they are on charge of the backup of the Transmission and signed backup of web content. The
signed document along the time; (ii) Confidentiality, it is not process of tracking (signing and storage) of web content
possible to monitor access to the signed files, so everyone is more complex because the web pages usually include
would be able to see their content; and finally (iii), the Change related contents (i.e. images, style sheets, scripts, etc.).
Control, because when a signed document is changed, it is not So, it is needed not only to process the main content, but
possible to know what what were the changes. also al related content and all exchanges of request and
This study presents the platform DoyFe.es1 that deals with responses.
these open issues. To do so, DoyFe platform exposes three Sign of photographs. The process of tracking
cloud-based services for secure communication of information photographs is different because it is not only necessary
exchanges and electronic transactions. DoyFe is based on to sign the taken photography by a mobile phone, but also
Cloud Computing (CC) [2][3], which improves the geolocalize it. A second photography with the frontal
commercialization following a payment model based on the camera is taken in order to know who is the person that
usage [4]. The core of DoyFe is a multiagent system (MAS) takes the photography. To do so, the user has to install a
based on virtual organization (VO) [5] that allows the specific APP. In this case they are signed into the mobile
interaction both with the underlying cloud platform and with phone. To do so, it is necessary to exchange information
the end-user. between the cloud platform and the phone about the
This work is organized as follow, next section presents the security certificate because the photograph is signed on
three main developed services, while section 3 is focused on the smartphone.
1
http://www.doyfe.es/
82
III. DOYFE PLATFORM Signing manager. It is in charge of gather the information

for signing and converts it into the appropriate format and
Once the communication services have been presented, there sends it to the Notary for signing.
is no doubt that their nature requires large computational Certificates manager. It manages the creation, store and
resources. DoyFE not only has to store a large amount of revocation of digital certificates for mobile clients and for
information, but also needs computational power to sign the the notary agents.
files in order not to delay the normal flow of the signed Notary. It is the role that signs the documents received
resources. Thus, DoyFe platform is deployed over +Cloud from the Signing manager using the keys provided by the
which is a cloud-based platform [2][3] that used a CBR (Case- Certificate manager.
Based reasoning) to control the elasticity of the services. This
platform allows offering services at the PaaS and SaaS
User
levels. Under de frame of DoyFE (Fig. 1), the persistence DoyFE.es
Service
SLA Negotiation
services at PaaS level represent the Digital Repository where Signing Global
Service
Organization
the signed documents are stored. But also, +Cloud provides a Evidence
Organization
Manager Supervisor
deployment environment where the computational power Certificate

Notary
(needed for signing) is taken from the virtual machines where Manager Digital
Repository
(FSS&OSS)
Service
Monitor
Service
Manager
each service is deployed.

External Layer
DoyFE Global Local Local

Front-end Manager Monitor Manager
Web Browser Mobile Resource

e-mail Organization
(in-a-browser) Application
Hardware
Manager
SaaS
Signing y Certification
iMap Control MAS
timestamping authority
Security Communication Services Fig. 2. Organizations of agents in DoyFe.es y +Cloud
Digital Repositories
Infrastructure
Control Files Documents IV. CONCLUSIONS
PaaS
Environment The main advantage of DoyFE.es is related with the fact of it
Are Storage
Network
Documental
database is deployed over a CC platform. Moreover, the end user has a
perspective of a single system, however, the reality is that the
MAS
Adaptive
Algorithms
Load
balancing
Security users make use of the services of DoyFE and the computational
power of CC. Moreover, it is possible to use DoyFE within the
Virtualization Layer legal frame in order to validate the genuineness of the
Physical Layer electronic evidences by a third party using an innovative
Environment perspective and traditional tools such as digital signature and
Internal Layer
service.
Fig. 1. Components diagram of DoyFE.es
Acknowledgements. This work has been supported by the
+Cloud platform uses VO to manage the system resources SOHA+C project (Ref. SA213U13) funded by Junta de
(Fig. 2). MAS can be perfectly adapted to solve this problem, Castilla y Leon.
as it allows making decisions in an open environment where REFERENCIAS
the availability of information is limited and agents are thereby
[1] Casey, E. (2011). Digital evidence and computer crime: Forensic
required to make decisions, amidst great uncertainty, that affect science, computers, and the internet. Academic press.
the entire system. The core of +Cloud is based on two virtual [2] De la Prieta, F., Rodrguez, S., Bajo, J., & Corchado, J. M. (2013). A
organizations as follow: Multiagent System for Resource Distribution into a Cloud Computing
Environment. In Advances on Practical Applications of Agents and
Resource Organization. This agent organization is charge Multi-Agent Systems (pp. 37-48). Springer Berlin Heidelberg.
of managing both the physical and virtual system resources. [3] Heras, S., De la Prieta, F., Julian, V., Rodrguez, S., Botti, V., Bajo, J.,
Its main goal is to maximize the use of resources. & Corchado, J. M. (2012). Agreement technologies and their use in
cloud computing environments. Progress in Artificial Intelligence, 1(4),
Consumer Organization. The services encompassed by 277-290.
this organization will, therefore use the system resources [4] Buyya, R. Market-Oriented Cloud Computing: Vision, Hype, and
according to existing demand. Its main goal is to maximize Reality for Delivering IT Services as Computing Utilities. 10th IEEE
International Conference on High Performance Computing and
the quality of service. Communications, 2008. HPCC '08. Pages. 5-13
DoyFe incorporates an additional organization (Fig. 2) in [5] Rodrguez, S., de Paz, Y., Bajo, J., Corchado, JM. Social-based planning
order to manage the evidences, this organization include three model for multiagent systems. Expert Systems with Applications 38
(10), 13005-13023. 2011.
main roles:
83
1
Programmable Hash Functions go Private:

Constructions and Applications to
(Homomorphic) Signatures with Shorter Public Keys
Dario Catalano1 , Dario Fiore2 , Luca Nizzardo2
1
Dipartimento di Matematica e Informatica, Universita di Catania, Italy.
2
IMDEA Software Institute, Madrid, Spain.
Abstract We introduce the notion of Asymmetric Pro- functions (asymmetric PHFs) which modifies the original
grammable Hash Functions (APHFs), which adapts Pro- notion of PHFs [1] in two main ways. First, an asymmetric
grammable Hash Functions, introduced by Hofheinz and
Kiltz at Crypto 2008. We show that APHFs are surpris- PHF H maps inputs into a bilinear group G and is only
ingly powerful objects. Using them we indeed obtain: secretly computable. At the same time, an isomorphic copy
(1) the first linearly-homomorphic signature (in the stan- of H can be publicly computed in the target group GT , i.e.,
dard model) whose public key is sub-linear in both the
anyone can compute e(H(X), g).1 Second, when generated
dataset size and the dimension of the signed vectors; (2)
short signatures (in the standard model) whose public key in trapdoor mode, for two given group elements g, h G
is shorter than those by Hofheinz-Jager-Kiltz from Asi- such that h = g z , the trapdoor allows one to write every
acrypt 2011, and essentially the same as those by Yamada, H(X) as g cX (z) for a degree-d polynomial cX (z).
Hannoka, Kunihiro, (CT-RSA 2012).
We define two main programmability properties of
asymmetric PHFs. The first one is an adaptation of
I. Introduction the original programmability notion, and it says that H
Programmable Hash Functions (PHFs) were introduced is (m, n, d)-programmable if it is (m, n)-programmable as
by Hofheinz and Kiltz [1] as an information theoretic before except that, instead of looking at the probability
tool to mimic the behavior of a random oracle in fi- that aX = 0, one now looks at whether cX,0 = 0, where
nite groups. In a nutshell, a PHF H is an efficiently com- cX,0 is the coefficient of the degree-0 term of the polyno-
putable function that maps suitable inputs (e.g., binary mial cX () obtained using the trapdoor.2 The second pro-
strings) into a group G, and can be generated in two dif- grammability property is new and is called programmable
ferent, indistinguishable, ways. In the standard modal- pseudo-randomness. Roughly speaking, programmable
ity, H hashes inputs X into group elements H(X) G. pseudo-randomness says that one can program H so that
When generated in trapdoor mode, a trapdoor allows one the values g cX,0 look random to any polynomially-bounded
to express every output in terms of two (user-specified) el- adversary who observes the public hash key and the out-
ements g, h G, i.e., one can compute two integers aX , bX puts of H on a set of adaptively chosen inputs.
such that H(X) = g aX hbX . Finally, H is programmable in Applications. In principle, secretly computable PHFs
the sense that it is possible to program the behavior of H seem less versatile than regular PHFs. In this work, how-
so that its outputs contain (or not) g with a certain proba- ever, we show that, for applications such as digital sig-
bility. More precisely, H is said (m, n)-programmable if for natures, asymmetric PHFs turn out to be more powerful
all disjoint sets of inputs {X1 , . . . , Xm } and {Z1 , . . . , Zn }, than their publicly computable counterparts. Specifically:
the joint probability that i, aXi = 0 and j, aZj 6= 0 is we obtain the first linearly homomorphic signature
significant (e.g., 1/poly()). Programmability turns out scheme, secure in the standard model, achieving a pub-
to be particularly useful in several security proofs. For lic key which is sub-linear in both the dataset size and
instance, consider a security proof where a signature on the dimension of the signed vectors;
H(X) can be simulated as long as aX = 0 (i.e., g does not we obtain regular signature schemes, matching the effi-
appear) while a forgery on H(Z) can be successfully used ciency of the ones in [2], thus providing the shortest sig-
if aZ 6= 0 (i.e., g does appear). Then one could rely on an natures in the standard model with a public key shorter
(m, 1)-programmability of H to hope that all the queried than in [3].
messages X1 , . . . , Xm are simulatable, i.e., i, aXi = 0,
In the following paragraphs we elaborate more on the
while the forgery message Z is not, i.e., aZ 6= 0. PHFs
fist contribution, while we refer to the full version of the
essentially provide a nice abstraction of the so-called par-
paper [4] for more details on the second contribution.
titioning technique used in many cryptographic proofs.
Linearly-Homomorphic Signatures with Short
II. Our Contribution Public Key in the Standard Model. Imagine a
user Alice stores one or more datasets D1 , D2 , . . . , D` on
Asymmetric Programmable Hash Functions. We a cloud server. Imagine also that some other user, Bob,
introduce the notion of asymmetric programmable hash
1 Because of such asymmetric behavior we call these functions
This is an extended abstract based on an earlier article which asymmetric.

c IACR 2015.
appears in the proceedings of CRYPTO 2015, 2 For d = 1, this is basically the same programmability of [1].
84
2
is allowed to perform queries over Alices datasets, i.e., to homomorphic signature scheme based on bilinear maps
compute one or more functions F1 , . . . , Fm over any Di . that can sign datasets, each consisting of up to N vectors
The crucial requirement here is that Bob wants to be en- of dimension T . The public key of our scheme mainly con-
sured about the correctness of the computations results sists of the public hash keys of two asymmetric PHFs. By
Fj (Di ), even if the server is not trusted. An obvious way instantiating these using (one of) our concrete realizations
to do this (reliably) is to ask Alice to sign all her data we obtain a linearly-homomorphic
signature with a public
(i) (i) key of length O( N + T ). We stress that ours is also
Di = m1 , . . . , mN . Later, Bob can check the validity of
the computation by (1) downloading the full dataset lo- the first linearly-homomorphic scheme where the public
cally, (2) checking all the signatures and (3) redoing the key is sub-linear in the dimension T of the signed vectors.
computation from scratch. Efficiency-wise, this solution Concretely, if one considers applications with datasets of
is clearly undesirable in terms of bandwidth, storage (Bob 1 million of elements and a security parameter of 128bits,
has to download and store potentially large amount of previous solutions (e.g., [9], [11]) require a public key of
data) and computation (Bob has to recompute everything at least 32 MB, whereas our solution simply works with a
on his own). public key below 100 KB.
A much better solution comes from the notion of homo-
References
morphic signatures [5]. These allow to overcome the first
[1] D. Hofheinz and E. Kiltz, Programmable hash functions and
issue (bandwidth) in a very elegant way. Using such a their applications, in CRYPTO 2008, ser. LNCS, D. Wagner,
scheme, Alice can sign m1 , . . . , mN , thus producing signa- Ed., vol. 5157. Springer, Aug. 2008, pp. 2138.
tures 1 , . . . , N , which can be verified exactly as ordinary [2] S. Yamada, G. Hanaoka, and N. Kunihiro, Two-dimensional
representation of cover free families and its applications: Short
signatures. In addition, the homomorphic property pro- signatures and more, in CT-RSA 2012, ser. LNCS, O. Dunkel-
vides the extra feature that, given 1 , . . . , N and some man, Ed., vol. 7178. Springer, Feb. / Mar. 2012, pp. 260277.
function F : MN M, one can compute a signature [3] D. Hofheinz, T. Jager, and E. Kiltz, Short signatures from
weaker assumptions, in ASIACRYPT 2011, ser. LNCS, D. H.
F,y on the value y = F (m1 , . . . , mN ) without knowledge Lee and X. Wang, Eds., vol. 7073. Springer, Dec. 2011, pp.
of the secret signing key sk. In other words, for a set 647666.
of signed messages and any function F , it is possible to [4] D. Catalano, D. Fiore, and L. Nizzardo, Programmable hash
functions go private: Constructions and applications to (ho-
provide y = F (m1 , . . . , mN ) along with a signature F,y momorphic) signatures with shorter public keys, in CRYPTO
vouching for the correctness of y. The security of homo- 2015. Springer, 2015, to appear.
morphic signatures guarantees that creating a signature [5] D. Boneh and D. M. Freeman, Homomorphic signatures for
polynomial functions, in EUROCRYPT 2011, ser. LNCS,
F,y for a y 6= F (m1 , . . . , mN ) is computationally hard, K. G. Paterson, Ed., vol. 6632. Springer, May 2011, pp. 149
unless one knows sk. 168.
[6] D. Catalano, D. Fiore, and B. Warinschi, Homomorphic sig-
To solve the second issue and allow Bob to verify ef- natures with efficient verification for polynomial functions, in
ficiently such signatures (i.e., by spending less time than CRYPTO 2014, Part I, ser. LNCS, J. A. Garay and R. Gen-
that required to compute F ), one can use homomorphic naro, Eds., vol. 8616. Springer, Aug. 2014, pp. 371389.
[7] N. Attrapadung and B. Libert, Homomorphic network coding
signatures with efficient verification [6]. signatures in the standard model, in PKC 2011, ser. LNCS,
D. Catalano, N. Fazio, R. Gennaro, and A. Nicolosi, Eds., vol.
Despite the significant research work in the area, it 6571. Springer, Mar. 2011, pp. 1734.
is striking that all the existing homomorphic signature [8] D. Catalano, D. Fiore, and B. Warinschi, Adaptive pseudo-free
schemes that are proven secure in the standard model groups and applications, in EUROCRYPT 2011, ser. LNCS,
K. G. Paterson, Ed., vol. 6632. Springer, May 2011, pp. 207
(e.g., [7], [8], [9], [10], [11], [12], [6], [13]) suffer from a 223.
public key that is at least linear in the size N of the [9] , Efficient network coding signatures in the standard
model, in PKC 2012, ser. LNCS, M. Fischlin, J. Buchmann,
signed datasets. On one hand, the cost of storing such and M. Manulis, Eds., vol. 7293. Springer, May 2012, pp.
large public key can be, in principle, amortized since the 680696.
key can be re-used for multiple datasets. On the other [10] D. M. Freeman, Improved security for linearly homomorphic
signatures: A generic framework, in PKC 2012, ser. LNCS,
hand, this limitation still represents a challenging open M. Fischlin, J. Buchmann, and M. Manulis, Eds., vol. 7293.
question from both a theoretical and a practical point of Springer, May 2012, pp. 697714.
view. From a practical perspective, a linear public key [11] N. Attrapadung, B. Libert, and T. Peters, Computing on au-
thenticated data: New privacy definitions and constructions,
might be simply unaffordable by a user Bob who has lim- in ASIACRYPT 2012, ser. LNCS, X. Wang and K. Sako, Eds.,
ited storage capacity. From a theoretical point of view, vol. 7658. Springer, Dec. 2012, pp. 367385.
considered the state-of-the-art, it seems unclear whether [12] , Efficient completely context-hiding quotable and lin-
early homomorphic signatures, in PKC 2013, ser. LNCS,
achieving a standard-model scheme with a key of length K. Kurosawa and G. Hanaoka, Eds., vol. 7778. Springer,
o(N ) is possible at all. Technically speaking, indeed, all Feb. / Mar. 2013, pp. 386404.
these schemes in the standard model somehow rely on a [13] S. Gorbunov, V. Vaikuntanathan, and D. Wichs, Leveled fully
homomorphic signatures from standard lattices, in 47th ACM
public key as large as one dataset for simulation purposes. STOC. ACM Press, 2015, to appear.
Our Result. We solve the above open problem by

proposing the first standard-model homomorphic signa-
ture scheme that achieves a public key whose size is sub-
linear in the maximal size N of the supported datasets.
Slightly more in detail, we show how to use asymmet-
ric PHFs in a generic fashion to construct a linearly-
85
Certified PUP: Abuse in Authenticode Code Signing
Platon Kotzias , Srdjan Matic , Richard Rivera , Juan Caballero

IMDEA Software Institute Universita degli Studi di Milano
Universidad Politecnica de Madrid
platon.kotzias@imdea.org, srdjan.matic@unimi.it,
richard.rivera@imdea.org, juan.caballero@imdea.org
The full version of this paper will appear in the Proceedings of the 2015 ACM SIGSAC Conference on Computer and
Communications Security.
AbstractCode signing is a solution to verify the integrity it requires providing the publishers identity to the CA and
of software and its publishers identity, but it can be abused paying a fee ($60$500 for 1-year certificates). Furthermore,
by malware to look benign. This work performs a systematic when malicious software is observed in the wild signed with
analysis of Windows Authenticode code signing abuse, evaluating a valid certificate, the CA that issued the certificate should
the effectiveness of existing defenses by certification authorities. swiftly revoke it. However, it is not clear how well defenses
We build an infrastructure that automatically analyzes signed
such as identity checks and revocation work. Prior work in
malware, classifies it into operations, and produces a blacklist of
malicious certificates. We evaluate it on 350 K malware samples 2010 by two AV vendors [8], [9] showed that signed samples
from 2006-2015. were not uncommon in malware datasets. But, there has been
no systematic study analyzing the extent to which malware
Our analysis shows the constant increase of signed malware
over time and that CA defenses such as identity checks and (e.g., bots, trojans) and PUP (e.g., adware, bundles) are abusing
revocation are not currently effective. Up to 97% of the signed code signing and how well defenses such as identity validation
malware uses CA-issued certificates and only 15% of those and revocation work.
certificates are revoked. Our generated blacklist is 9x larger than In this work we perform a systematic study on abuse of the
current ones. We analyze the code signing infrastructure of the Windows Authenticode [6] code signing solution by malicious
largest operations and show how they evolve over time, using software. We build an infrastructure that takes as input a large
multiple identities and leveraging the lack of CA synchronization
number of potentially malicious samples, filters out benign
to move from one CA to another. We also identify a design issue
in Authenticode where timestamped signed malware successfully samples and those that are not signed, and thoroughly analyzes
validates even after the revocation of their code signing certificate. signed samples including their digital signatures, certificate
We propose hard revocations as a solution. chains, certificate revocation, and file timestamping (i.e., third-
party certification of the time they saw some signed code). It
also classifies signed samples into operations. Our infrastruc-
I. I NTRODUCTION ture automatically builds a blacklist of malicious certificates,
Malicious software (i.e., malware) is software that most which can be used as input by CAs to perform revocation, or
users will not want to install consciously on their computers. It users can embed it into the Windows untrusted certificate store
includes clearly malicious software (e.g., trojans, ransomware, to block malicious code.
keyloggers) as well as potentially unwanted programs (PUP) Using our infrastructure we analyze over 350 K malware
such as adware and spyware. Publishers of malicious software samples distributed between 2006 and Februrary 2015, of
are always looking for ways to make their code look benign which 141 K (42%) are signed. This process outputs a blacklist
in order to convince the user to install it and avoid detection. of over 2,900 malicious code certificates, 9x larger than exist-
One such way is code signing, where the software is distributed ing blacklists [1]. Our analysis uncovers that signed malware is
with a digital signature which, if valid, certifies the integrity on the rise since 2010, e.g., 87% of the malware in our corpus
of the software and the identity of the publisher. Signed code first seen in 2014 is signed. Up to 97% of signed malware
looks more benign and is often assigned higher reputation by uses a valid code signing certificate, showing limitations of the
security products, e.g., reputation engines [7]. In Windows, identification procedures used by CAs. Even more worrying,
properly signed application code avoids scary warnings when only 15% of the malicious code signing certificates in our
a user executes it and is assigned higher reputation when blacklist have been revoked and the best CA revokes merely
downloaded through Internet Explorer. Furthermore, kernel- 43% of the malicious certificates it issues.
mode code is required to be signed. Aware of these benefits
attackers are increasingly leveraging signed code for their We identify a problematic interaction between revocation
goals, e.g., for launching notorious targeted attacks [2][4]. and timestamping in Authenticode, where timestamped signed
malware still validates even if their code signing certificate
To sign Windows-based malware, publishers need to obtain is revoked. To address this issue CAs need to perform hard
a valid code signing certificate from a Certification Authority revocations that invalidate all malware signed by a certificate.
(CA). This should pose a barrier for malicious software, since
86
Our classification of signed malware into operations shows

that the largest operations using signed malware correspond to
potentially unwanted programs such as adware and gray pay-
per-install programs that offer users to install suspicious third-
party programs. The classification enables examining the tem-
poral evolution of their code signing infrastructure, identifying
how they react to revocation. Large operations use multiple
identities to convince CAs to issue them certificates. One
operation uses 37 different companies and 2 individuals across
5 countries to obtain 88 valid code signing certificates from 4
CAs. They reuse identities across different CAs; when revoked
by one CA, miscreants leverage the lack of synchronization
among CAs to request other certificates from others.
We also leverage the fact that timestamped malware con-
tains a trusted timestamp close to its creation to evaluate
how fast VirusTotal [5], a large malware repository collects
malware.
II. C ONCLUSION
We have performed a systematic analysis of Windows
Authenticode code signing abuse by building an infrastructure
that automatically analyzes signed malware, classifies it into
operations, and produces a blacklist of malicious certificates.
We have identified a design issue in Authenticode where
timestamped signed malware successfully validates even after
the revocation of their code signing certificate. We have
proposed hard revocations as a solution. We have evaluated our
infrastructure on 350 K malware samples. Our analysis shows
that CA defenses such as identity checks and revocation are
not currently effective. Up to 97% of the signed malware uses
CA-issued certificates and only 15% of those certificates are
revoked. Our generated blacklist is 9x larger than current ones.
We have analyzed the code signing infrastructure of the largest
operations and show how they evolve over time, using multiple
identities and leveraging the lack of CA synchronization to
move from one CA to another. We have also used timestamped
malware to evaluate the speed with which the VirusTotal online
service collects malware.
R EFERENCES
[1] Ccss forum: Common computing security standards. http://www.
ccssforum.org/.
[2] Malware Analysis Report - W64/Regin, Stage 1. https://www.f-secure.
com/documents/996508/1030745/w64 regin stage 1.pdf.
[3] Stuxnet Under the Microscope. http://www.eset.com/us/resources/
white-papers/Stuxnet Under the Microscope.pdf.
[4] Unveiling Careto - The Masked APT. http://kasperskycontenthub.com/
wp-content/uploads/sites/43/vlpdfs/unveilingthemask v1.0.pdf.
[5] Virustotal- free online virus, malware and url scanner. http://www.
virustotal.com/.
[6] Microsoft. Windows authenticode portable executable signature for-
mat, Mar. 21 2008. http://download.microsoft.com/download/9/c/5/
9c5b2167-8017-4bae-9fde-d599bac8184a/Authenticode PE.docx.
[7] MSDN. Stranger Danger - Introducing SmartScreen Appli-
cation Reputation. http://blogs.msdn.com/b/ie/archive/2010/10/13/
stranger-danger-introducing-smartscreen-application-reputation.aspx.
[8] J. Niemala. Its signed, therefore its clean, right?, May 2010. Presenta-
tion at the CARO 2010 Workshop.
[9] M. Wood. Want my autograph? The use and abuse of digital signatures
by malware. In Virus Bulletin Conference, 2010.
87
Aplicacin del cifrado con preservacin del formato

para eventos de ciberseguridad
L. Gonzlez-Manzano1, J. M. de Fuentes1, V. Gayoso Martnez2
1
Computer Security Lab (COSEC). Universidad Carlos III de Madrid
2
Instituto de Tecnologas Fsicas y de la Informacin. Consejo Superior de Investigaciones Cientficas (CSIC)
{lgmanzan, jfuentes}@inf.uc3m.es, {victor.gayoso}@iec.csic.es
Resumen-La comparticin de informacin sobre eventos de es imprescindible que todas las partes nombren los eventos de
ciberseguridad presenta mltiples retos. Uno de ellos es la seguridad de forma unvoca. En concreto se han propuesto
ocultacin de la informacin transmitida, de forma que pase
inadvertida a un observador. Adems de la esteganografa, se han algunos formatos unificados para nombrar los eventos de
propuesto mecanismos de cifrado que persiguen un fin similar. ciberseguridad. En esta seccin se revisan brevemente dos
Uno de ellos es el cifrado con preservacin del formato (format formatos representativos. El uso de formatos bien definidos es
preserving encryption). En este artculo se describe el trabajo en la base fundamental para la aplicacin del FPE.
curso sobre su uso en el contexto de la ciberseguridad.
A. Recomendacin ITU-T X.1520
I. INTRODUCCIN
La recomendacin X.1520 de la ITU-T persigue
El ciberespacio juega un papel fundamental en las
proporcionar una forma estructurada de intercambio global de
sociedades modernas. Sin embargo, la Estrategia Nacional de
informacin pblicamente conocida sobre vulnerabilidades y
Seguridad pone de manifiesto que el ciberespacio es un entorno
exposiciones maduras [5]. Para ello, determina el correcto uso de
muy accesible y de difcil control [1].
los CVE (Common Vulnerabilities and Exposures). Dichos
Para responder adecuadamente a estas amenazas es crtico
CVE aglutinan las diferentes vulnerabilidades de diversos
que las organizaciones cooperen entre s. Un pilar esencial de
programas y plataformas.
dicha cooperacin es la comparticin de informacin de
ciberseguridad sobre vulnerabilidades, amenazas, actores, B. STIX
tcticas, incidentes en curso, contramedidas, etc. [2]. STIX (Structured Threat Information Expression) es una
Este trabajo se centra en la proteccin de la informacin iniciativa de la corporacin MITRE para estructurar esta
intercambiada acerca de eventos de ciberseguridad. Se define informacin [6]. En dicho lenguaje se definen numerosos
un evento de seguridad como un fallo o problema que conceptos: ciber-observable, indicadores,
compromete los sistemas de informacin, los servicios o la red, tctica/tcnica/procedimiento de ataque, plataforma objetivo,
es decir, indica que una poltica de seguridad ha sido violada o tipo de atacante, etc. Por ejemplo, en la Figura 1 se muestra
que una salvaguarda ha fallado [7]. parte del indicador de un ataque de phishing. Se describe el
Un problema abierto en este entorno es que la propia ttulo, el tipo de ataque, cmo ha ocurrido y la fecha del
existencia de la comunicacin revela cierta informacin a un mismo.
observador. Por ejemplo, si dos entidades cooperantes
intercambian datos en un momento determinado, es posible que
una de ellas haya sufrido un evento de seguridad. Es necesario
proporcionar algn mecanismo que impida esta circunstancia.
En este artculo se describe el trabajo en curso para la
aplicacin de una tcnica de cifrado en este contexto.
Particularmente, la tcnica considerada es el cifrado con
preservacin del formato (en adelante FPE, del ingls Format Fig. 1 Indicador (porcin) de un ataque de phising utilizando STIX [11].
Preserving Encryption) [3].
III. CIFRADO CON PRESERVACIN DEL FORMATO (FPE)
II. NOMBRADO DE EVENTOS DE CIBERSEGURIDAD Los sistemas de cifrado FPE se basan en que el formato del
texto cifrado sea equivalente al del texto en claro. Este trmino
El foco de este trabajo se sita en posibilitar la comparticin
fue acuado por Terence Spies [12, 13] proponiendo distintas
de forma inadvertida para un tercero. Como paso previo, es
aplicaciones, entre las que destacan el cifrado de nmeros de la
necesario explorar las herramientas existentes para una
seguridad social o nmeros de tarjetas de crdito (Figura 2).
comparticin efectiva. FPE hace uso de una clave simtrica K utilizada para cifrar
En los ltimos tiempos, se han propuesto numerosos un texto X de un formato N descrito en el conjunto finito N,
mecanismos para intercambiar esta informacin [4]. Adems, donde N se corresponde con todos los posibles espacios de los
88
mensajes, es decir, con los posibles valores de textos en claro y informacin. Este tipo de primitivas podra inspirarse en las de
cifrados. Para cifrar X N se realiza la llamada a un algoritmo la criptografa ligera (lightweight cryptography) [9].
de cifrado proporcionando la clave K y el texto X. Esto Por otro lado, una cuestin importante es aplicar esta tcnica
producir un texto cifrado Y = EK(X) manteniendo que Y N. de forma que los resultados pudiesen correlarse. La correlacin
El proceso de descifrado, DK(Y), proporcionar nuevamente el permite conocer el ataque que se padece o el grado de avance
texto X. Adems, EK() ha de corresponderse con una del mismo [10]. Esto tendra un elevado potencial disuasorio
permutacin aleatoria en el espacio de mensajes N. para el observador, quien no podra establecer si est
En base a la descripcin realizada, un buen sistema FPE es visualizando los eventos reales o el resultado de cifrarlos.
aquel en el que un adversario no es capaz de distinguir un texto La aleatoriedad de los resultados es tambin crtica en este
cifrado con una permutacin EK() y ese mismo texto cifrado entorno. Los eventos de seguridad pueden repetirse con gran
con una permutacin K().
frecuencia, lo que podra dar lugar a ataques de texto claro
escogido que permitiesen revelar la clave. Se necesita, por
tanto, que los resultados sean impredecibles.
V. CONCLUSIONES
La comparticin de informacin sobre eventos de
ciberseguridad ha recibido gran atencin por parte de la
Fig. 2. Esquema de cifrado con preservacin de formato comunidad investigadora en los ltimos tiempos. Entre los
numerosos retos que sta plantea, este artculo ha presentado el
A. Aproximacin propuesta para eventos de ciberseguridad trabajo en curso para la proteccin de dicho intercambio.
Para utilizar FPE en relacin con eventos de seguridad se Particularmente, se propone desarrollar una aproximacin
pueden distinguir los siguientes pasos: basada en el cifrado con preservacin del formato (FPE).
1. Establecer qu formato se va a considerar. Gracias a FPE, el observador no es capaz de distinguir si
2. Determinar el espacio de mensajes N. Se cifran los visualiza el mensaje en claro o su resultado cifrado, en tanto
datos del tipo de ataque, acciones a emprender, etc. o que ambos mantienen la misma estructura.
slo un dato concreto, por ejemplo el elemento
AGRADECIMIENTOS
observado?
3. Realizar anlisis de los sistemas FPE existentes y Este trabajo ha sido financiado a travs del proyecto
escoger el ms apropiado en su caso, modificndolo o CIBERDINE (S2013/ICE-3095), otorgado por la Comunidad
desarrollando uno que satisfaga las necesidades. Autnoma de Madrid, y del proyecto SPINY (TIN2013-46469-
Asumiendo que N es el espacio de mensajes compuesto R), otorgado por el MINECO.
por los caracteres del alfabeto y los nmeros, se podra
REFERENCIAS
estudiar la posibilidad de utilizar el algoritmo
presentado en [14]. As se conseguira el cifrado de [1] Espaa, Estrategia Nacional de Seguridad, 2013.
[2] E. Gal-or y A. Ghose, The economic incentives for sharing security
caracteres en base a su cdigo binario mediante un information. Information Systems Research, 2005, vol. 16, p. 186-208.
cifrador de bloque basado en una estructura Feistel. [3] M. Bellare, et al., Format-preserving encryption.
En relacin con el ejemplo presentado en la Figura 1, un https://eprint.iacr.org/2009/251.pdf (ltimo acceso Julio 2015).
[4] L. Dandurand, Cyber Defense Data Exchange and Collaboration
cifrado FPE se muestra en la Figura 3 (enmarcado en rojo). En Infrastructure (CDXI). ITU-T Workshop, 2010
este caso, por ejemplo, el cifrado de Malicious E-mail se [5] ITU-T, X.1520: Vulnerabilidades y estados comunes, 2014.
corresponde con Malicious Docume, as como la fecha de [6] S. Barnum, Standardizing Cyber Threat Intelligence Information with
the STIX, disponible en http://stixproject.github.io/getting-
comienzo, 2012-12-01, que puede cifrarse como 2013-02- started/whitepaper/ (ltimo acceso Julio 2015).
12. [7] ISO, ISO27001-Glosario, disponibles en http://www.praxiom.com/iso-
27001-definitions.htm (ltimo acceso Julio 2015).
[8] M. Brightwell and H. Smith. Using datatype-preserving encryption to
enhance data warehouse security. 20th NISSC Proc., pp. 141149, 1997
[9] T. Eisenbarth, A survey of lightweight-cryptography
implementations. IEEE Design & Test of Computers, 2007, p. 522-533.
[10] F. Cuppens, A. Miege, Alert correlation in a cooperative intrusion
detection framework.. Security and Privacy, 2002. Proceedings. 2002
IEEE Symposium on. IEEE, 2002. p. 202-215.
[11] Ejemplos de STIX, disponible en:
http://stix.mitre.org/about/example_phishing.html (lt. acceso Julio 2015)
Fig 3. Cifrado FPE de indicador de phishing [12] Spies, Terence. "Format preserving encryption." Unpublished white
paper, www. voltage. com Database and Network Journal. 2008.
IV. LNEAS DE TRABAJO EN CURSO [13] Black, John, and Phillip Rogaway. "Ciphers with arbitrary finite
domains." Topics in CryptologyCT-RSA 2002. Springer Berlin
En esta lnea de trabajo existen numerosos aspectos que Heidelberg, 2002. 114-130
merecen atencin investigadora. En primer lugar, el desarrollo [14] Li, Min, et al. "Format-preserving encryption for character data." Journal
of Networks 7.8 (2012): 1239-1244.
de tcnicas FPE ligeras permitira un intercambio gil de
89
1
Modelling ephemeral leakage in group key

exchange protocols
Mara Isabel Gonzalez Vasco1 , Angel L. Perez del Pozo1 , Adriana Suarez Corona2
1
Universidad Rey Juan Carlos, 2 Universidad de Leon
1 {mariaisabel.vasco, angel.perez}@urjc.es, 2 asuac@unileon.es
ResumenWhen a group key exchange protocol is executed, the session values that cannot be computed from long-term secret keys or
key is typically extracted from some ephemeral values generated during other values received/computed previously in the session.
the execution. The leakage of this so-called ephemeral keys has been exten- s
termi i shows if the execution has terminated;
sively analyzed in the two party case, yet very few works are concerned si
with it in the group setting. We augment previous security models to cap- sidi denotes a session identifier;
ture the adversarial ability to retrieve long-term and ephemeral keys of s s
pidi i stores the set of identities of those users that i i aims
users, with the sole restriction of not getting both secret values from the
same user (during or after the protocol execution). We further tune up our
at establishing a key withincluding Ui himself;
s
model so that it can also be applied to the (much less studied) certificateless acci i indicates if the user accepted the session key;
si s
setting. ski stores the session key once it is accepted by i i .
Adversarial capabilities. We restrict to ppt adversaries. The
I. I NTRODUCTION capabilities of an adversary A are made explicit through a num-
ber of oracles allowing A to communicate with protocol in-
Group key establishment protocols are a fundamental cryp- stances run by the users:
tographic building block allowing n 2 participants to agree Send(Ui , si , M ); sends message M to the instance i i and
s
upon a common secret key. It is usually assumed that these par- returns the reply generated by this instance.
ticipants hold both long-term secrets, which are typically used su su
Execute({u11 , . . . , u }); executes a complete protocol
for authentication and ephemeral secrets, which are session- run among the specified unused instances.
specific randomly generated values that provide enough en- s
Reveal(Ui , si ); yields the session key ski i .
tropy for the key to be indistinguishable from random in some Test(Ui , si ) Only one query of this form is allowed for an
sense. Different security models have tried to capture accord- active adversary A. Provided that sksi i is defined, A can exe-
ingly the effect of leaking long-term keys, ephemeral keys or cute this oracle query at any time when being activated. Then
values related to them ([2], [9], [10]). In this paper we adapt with probability 1/2 the session key sksi i and with probability
the two-party model from [1] to the group setting, arguing why 1/2 a uniformly chosen random session key is returned.
our model is strictly stronger than previously proposed ones. s
RevealRand(Ui , si ); returns the value stored in randi i .
For the certificateless case we propose a security model for Corrupt(Ui ); returns the long term key hold by Ui .
the group setting, based on the two-party model from [13] and Note that we dont grant the adversary access to the full state
compare it to the previous proposal from [15]. of an oracle, as done in the two party setting by Cremers [7].
II. S TRONG SECURITY FOR GROUP KEY EXCHANGE Before we define correctness and key privacy, we introduce
partnering to express which instances are associated in a com-
We sketch here our augmented security model which is a
mon protocol session.
modification of the model of Bohli et al [6], which in turns s
Partnering. We refer to instances si i , j j as being partnered
builds in previous models [3], [4], [5], [11]. Our model differs si sj si sj si s
from previous ones in that it treats separately the session state if sidi = sidj , pidi = pidj and acci = accj j = true.
(state) and the session ephemeral keys (rand) from a given ses- Correctness. We call a group key establishment protocol P
sion, following the rationale from [7]. correct, if in the presence of a passive adversary Ai. e., A
At this, users are modeled as probabilistic polynomial time must not use the Send oraclethe following holds: for all i, j
s s s
(ppt) Turing machines. Each user U U may execute a poly- with sidsi i = sidj j , pidsi i = pidj j and accsi i = accj j = true,
si sj
nomial number of protocol instances in parallel. To refer to we have ski = skj 6=NULL.
instance si of a user Ui U we use the notation si i (i N). Freshness. A Test-query should only be allowed to those in-
Protocol instances. A single instance si i can be taken for stances holding a key that is not for trivial reasons known to the
a process executed by Ui . To each instance we assign seven adversary. To this aim, an instance si i is called fresh if
s
variables , informally described next : acci i = true
s sj
s A never called Reveal(Uj , sj ) with i i and j being part-
usedi i indicates whether this instance is or has been used for
a protocol run; nered.
s sj
s If i i and j are partnered and A called Corrupt(Uj ), then
statei i keeps the internal state of the Turing machine that
s
executes the protocol; any message sent to si i on behalf of j j must indeed come
s sj si
randi i keeps the session-specific atomic secret values from j intended to i .
typically values generated uniformly at random which will A never called both Corrupt(Uj ) and RevealRand(Uj , sj )
s
be referred to as ephemeral keys. More precisely, these are any with si i and j j being partnered.
90
2
Key Privacy We say a group key establishment achieves key The model proposed by Teng and Wu [15] is weaker than the
privacy, if the advantage AdvA (`) of a ppt adversary A in at- model above, since it does not allow leakage of ephemeral keys
tacking protocol P is a negligible function in the security pa- of any party from the target session. In fact, if ephemeral keys
rameter, where the advantage is defined as are revealed, the session key established with their protocol can
be fully determined.
AdvA := |2 Succ 1|. If we restrict our model to the two party case, it is also
stronger than the models in [13] and [14], since they only con-
Here Succ is the probability that the adversary queries Test on sider passive adversaries. Actually, an active adversary sending
a fresh instance si i and guesses correctly the bit b used by the a message (rA P, xA P ), can determine the key computed with
Test oracle in a moment when si i is still fresh. the proposal in [13] after revealing both long-term keys at the
It is easy to see that our new model outperforms the pro- end of the execution without violating freshness.
posal from [16], where the EphemeralKeyReveal calls only
retrieve the ephemeral Diffie-Hellman exponents generated on Acknowledgements
each session (and does not involve the random nonces ki that M.I. Gonzalez Vasco and Adriana Suarez Corona are par-
actually fully determine the session key). Furthermore, other tially supported by MINECO research projects MTM2013-41426-
security properties such as KCIR (Key Compromise Imperson- R and MTM2013-45588-C3-1-P respectively.
ation Resilience, first defined in [9]) are also captured by our
freshness definition. In a full version of this work, we will R EFERENCIAS
ellaborate on how a group key exchange protocol that can ac- [1] F. Bergsma and T. Jager and J. Schwenk, One-Round Key Exchange with
tually be proven secure in this stronger sense can be derived. Strong Security: An Efficient and Generic Construction in the Standard
Model, Public-Key Cryptography PKC 2015, Lecture Notes in Com-
III. C ERTIFICATELESS GROUP KEY EXCHANGE puter Science, vol. 9020, 2015 pp.477494.
[2] E. Bresson and M. Manulis, Securing Group Key Exchange Against
When protocols are based on certificateless public key cryp- Strong Corruptions and Key Registration Attacks, in Int. J. Appl. Cryp-
tol.,vol. 1,n. 2, 2008, pp.91107.
tography, the long-term key is comprised of two distinguished [3] M. Bellare and P. Rogaway, Entity Authentication and Key Distribution,
values. The security model we propose, based on [13], is as in Advances in CryptologyCRYPTO 93, Lecture Notes in Computer
above except for the following: Science, Vol 773, 1993, pp. 232249.
[4] M. Bellare and P. Rogaway, Provably Secure Session Key Distribution
Adversarial capabilities. Now, we include oracles modelling The Three Party Case, in Proceedings of the 27th Annual ACM Sympo-
the leakage of the long-term keys separately. Thus, the oracle sium on Theory of Computing, STOC95, ACM Press, 1995, 5766.
Corrupt is replaced by the following oracles: [5] M. Bellare, D. Pointcheval and P. Rogaway, Authenticated Key Exchange
Secure Against Dictionary Attacks, in Advances in Cryptology EU-
RevealIDBasedSecret(Ui ) Returns the ID-based long term ROCRYPT00, Lecture Notes in Computer Science, Vol 1807, 2000, pp.
key hold by Ui . 139155.
[6] J.M. Bohli, M.I. Gonzalez Vasco and R. Steinwandt, Secure Group Key
RevealSecretValue(Ui ) Yields the long term secret value
Stablishment Revisited, International Journal of Information Security,
generated by Ui corresponding to its certificateless public key. 2007, vol. 6, n. 4, pp. 243254.
Moreover, to consider the corruption of the key generation [7] C. Cremers, Session-state Reveal is stronger than Ephemeral Key Reveal:
Attacking the NAXOS Authenticated Key Exchange Protocol, in Applied
center we also include the following oracle: Cryptography and Network Security. Springer Berlin Heidelberg, 2009.
RevealMasterKey Returns the master secret key. pp. 2033.
The adversary is also allowed to replace certificateless public [8] C. Cremers and M. Feltz, Beyond eCK: perfect forward secrecy under ac-
tor compromise and ephemeral-key reveal, in Designs, Codes and Cryp-
keys, which we model as follows: tography, vol. 74, n. 1, 2015, pp. 183218.
ReplacePublicKey(Ui , pk) This replaces users certificate- [9] M. C. Gorantla and C. Boyd and J.M. Gonzalez Nieto, Modeling Key
Compromise Impersonation Attacks on Group Key Exchange Protocols,
less public key by pk chosen by the adversary. This new public in Public Key Cryptography PKC 2009, Lecture Notes in Computer Sci-
key will be used for future communication and computations. ence, vol. 5443, 2009, pp. 105123.
Freshness. We require a certificateless key establishment [10] M. C. Gorantla and C. Boyd and J.M. Gonzalez Nieto and M. Manulis,
Generic One Round Group Key Exchange in the Standard Model, in In-
scheme to be secure as long as each party involved in a ses- formation, Security and Cryptology ICISC 2009, Lecture Notes in Com-
sion has at least one uncompromised secret. To define fresh- puter Science, vol. 5984, 2010, pp. 115.
ness in this setting we divide the queries regarding the secrets [11] J. Katz and M. Yung, Scalable Protocols for Authenticated Group Key
Exchange in Advances in Cryptology CRYPTO03, Lecture Notes in
into three types: Computer Science, Vol 2729, 2003, pp. 110125.
queries on the ID-based part of the scheme: RevealMasterKey [12] B. LaMacchia and K. Lauter and A. Mityagin, Stronger Security of
and RevealIDBasedSecret. Authenticated Key Exchange, in Provable SecurityProvSec07, Lecture
Notes in Computer Science, vol. 4784, 2007, pp. 116.
queries on the public key part of the scheme: RevealSecretValue[13] G. Lippold and C. Boyd and J. M. Gonzalez Nieto, Strongly Secure
and ReplacePublicKey. Certificateless Key Agreement, in Pairing-Based CryptographyPairing
queries on the keys of a particular session: RevealRand.
2009, Lecture Notes in Computer Sciences, vol. 5671 , 2009, pp. 206
230.
For a session to be fresh in this setting, the last two condi- [14] C. Swanson and D. Jao, A Study of Two-Party Certificateless Au-
tions in the freshness definition above are replaced by: thenticated Key-Agreement Protocols, in Progress in Cryptology
s sj INDOCRYPT 2009, Lecture Notes in Computer Sciences, 2009, pp. 57
If i i and j are partnered and A called queries on both
71.
sj
the ID-based part and the public key part of j , then any mes- [15] J. Teng and C. Wu, A provable authenticated certificateless group key
s s agreement with constant rounds, in Journal of Communications and Net-
sage sent to si i on behalf of j j must indeed come from j j works, vol 14, n. 1, 2012, pp. 104110.
si
intended to i . [16] J. Zhao, G. Gu and M.C. Gorantla, Stronger Security Model of Group
sj si Key Agreement, in Proceedings of the 6th ACM Symposium on Informa-
no session U partnered with U has been asked all three
j i tion, Computer and Communications Security. ACM, 2011. pp. 435440.
types of reveal queries (is fully corrupt);
91
JNIC2015 Sexta sesion: Vulnerabilidades, malware y exploits 2
Deteccin de funciones inseguras en

repositorios de software libre
Alfonso Muoz Muoz1, Pablo Gonzlez Prez2
Criptored Universidad Politcnica de Madrid. Espaa
ElevenPaths, Telefnica Digital. Identity & Privacy, Madrid. Espaa
amunoz@diatel.upm.es1, pablo.gonzalez2@11paths.com
Resumen- La deteccin de vulnerabilidades software es una Por el otro lado, nos encontramos con el software no libre. La
temtica de gran complejidad en la que se ha invertido, y se invierte, FSF define el software privativo (software no libre) como aquel
gran cantidad de esfuerzos. Por desgracia, ningn software es 100% que limita la libertad del usuario para usar, estudiar, distribuir o
seguro y a nivel particular o empresarial se ejecuta software de mejorar el mismo. Este tipo de software est distribuido bajo
procedencias diversas cuya garanta debe ser cuestionada. En nuestra una licencia ms restrictiva que reserva la mayora de los
investigacin centramos la atencin en la deteccin de funciones
peligrosas en repositorios de software libre, particularizando en los
derechos de modificacin, duplicacin y redistribucin para el
paquetes por defecto de Ubuntu. Analizados 45.153 paquetes es dueo del copyright. En la prctica, existen zonas grises en
posible afirmar la existencia de funciones inseguras en paquetes estas definiciones y en funcin de nuestras necesidades es
oficiales, algunas de las cuales introducen vulnerabilidades en los posible que se obtengan ms ventajas que inconvenientes en
sistemas Linux que las instalen. una u otra filosofa. Por ejemplo, ciertos usuarios pueden pensar
que el software privativo, entindase en este ejemplo como
Keywords - software inseguro, Ubuntu, vulnerabilidades, software propietario que vende una empresa y no permite
repositorio, deteccin acceso a su cdigo, debera tener un cdigo ms trabajado,
como resultado de un equipo profesional detrs, y permitir
I. SOFTWARE LIBRE VS SOFTWARE PRIVATIVO mantenimiento continuado y actualizacin del mismo de una
forma profesional/empresarial. Sin embargo, este software por
En las ltimas dcadas multitud de esfuerzos se han destinado su definicin es menos flexible ya que puede que la empresa
a analizar y detectar vulnerabilidades en programas software. que lo genera no cree las variantes adecuadas para adaptarse a
En ocasiones, quizs de forma interesada por una u otra parte, las necesidades concretas de un particular o empresa.
se intenta argumentar sobre la calidad del software en funcin
de su naturaleza y el proceso de revisin del cdigo, ms abierto Adicionalmente a todas las cuestiones tcnicas, que podran
a cualquier usuario o ms restringido en funcin de diversas indicar que software es ms o menos fiable y seguro, existen
polticas. En este escenario es habitual encontrarse grandes todas una serie de implicaciones econmico-polticas que
defensores y detractores de la calidad del software en funcin complican an ms la decisin de qu tipo de software utilizar.
de si se define como software libre o por el contrario es software Tradicionalmente el negocio detrs del software libre se ha
privativo. Se entiende por software libre, segn la definicin caracterizado por la oferta de servicios adicionales al software
establecida por Richard Stallman y la Free Software Foundation (tradicionalmente gratuito) como la personalizacin y el
(FSF), su principal impulsora, como aquel software que puede mantenimiento. Por ejemplo, la traduccin del software a un
ser usado, copiado, estudiado, modificado y redistribuido idioma concreto que posiblemente no fuera rentable
libremente de varias formas. Una ventaja habitual que se le comercialmente para una gran empresa. Adicionalmente, tiene
otorga a este tipo de filosofa es la posibilidad de que cualquier una caracterstica social importante, puesto que el software
usuario pueda analizar el cdigo fuente del software. En libre permite el libre uso, modificacin y redistribucin, a
principio, lo anterior debera ayudar a generar software ms menudo encuentra un hogar entre usuarios para los cuales el
fiable y seguro ya que potencialmente cualquier usuario de coste del software no libre es a veces prohibitivo, o cmo
Internet podra corregir o sugerir mejoras. Es importante alternativa a la piratera. Se defiende con firmeza el ahorro que
recordar que en funcin de la licencia software utilizada, puede puede obtenerse con este tipo de software frente al software
que se permita analizar el cdigo fuente, pero no estemos privativo y especialmente limitar la dependencia que un usuario
hablando de software libre si no de software de cdigo abierto. o empresa tiene de una corporacin concreta que desarrolla ese
Ejemplos de licencias son: LGPL, AGPL, LBSD, MPL, etc. De software. Existe una fuerte tendencia a la defensa de su uso en
hecho, en la prctica el software de cdigo abierto y el software sectores estratgicos y administracin pblica a lo largo del
libre comparten muchas de sus licencias, si bien es cierto que planeta. En paralelo, en el modelo de negocio del software de
difieren en el objetivo del mismo. Por un lado, la Open Source cdigo cerrado predomina la venta de licencias por su uso,
Initiative (OSI), fundada en 1998 por Eric S. Raymond y Bruce opcionalmente con servicios de actualizacin y mantenimiento.
Perens, busca darle mayor relevancia a los beneficios prcticos
de compartir el cdigo fuente, e interesar a las principales casas
En resumen, en funcin de las necesidades concretas de un
de software y otras empresas de la industria, mientras que la
usuario o empresa y del software necesario a utilizar, sea
FSF prefieren plantear el asunto en trminos ticos.
92
software libre o no, existen ventajas e inconvenientes a analizar. como el ao negro del Open Source debido a vulnerabilidades
No necesariamente el software libre tiene porqu ser ms tan mediticas como Heartbleed [2] o Shellshock [3]. En
seguro/fiable y resolver los problemas concretos de una resumidas cuentas, el software libre o de cdigo abierto no es
organizacin. En cualquier caso, en esta investigacin se necesariamente ms seguro que el software privativo aunque es
focaliza el esfuerzo, como aportacin a la mejora del cdigo mucho ms flexible para ser analizado y modificado. Ante esta
libre disponible a la comunidad de Internet, en el anlisis de situacin solo cabe preguntarse una cuestin: Qu
aspectos de seguridad relacionado con software real disponible herramientas de software libre o de cdigo abierto utilizar?
en los repositorios de software libre, con la intencin de Cmo se agrupan? Son algunas ms fiables que otras?
responder unas cuestiones bsicas: Es posible detectar de
forma sencilla fallos de seguridad en herramientas que deberan
Sin duda, uno de los problemas relacionados con el software
ser auditadas por la comunidad? Son fiables los repositorios
libre/cdigo abierto es la gran dispersin entre distribuciones y
de software libre?
repositorios software (donde descargarse programas). Por
II. REPOSITORIOS DE SOFTWARE LIBRE. SON ejemplo, existen distribuciones que estn soportadas
CONFIABLES? comercialmente, como Fedora (Red Hat), openSUSE (Novell),
En la ltima dcada muchas lneas se han escrito sobre la Ubuntu (Canonical Ltd.) y Mandriva; distribuciones
relacin entre software libre y software seguro. En la prctica mantenidas por la comunidad, como Debian y Gentoo; y
la gran mayora de estas estn relacionadas con la posibilidad distribuciones que no estn relacionadas con ninguna empresa
de revisar el cdigo fuente y en funcin de los cambios o comunidad, como es el caso de Slackware. Todas las
necesarios poder modificarlo y distribuirlo. Sin duda, existen distribuciones son igual de fiables? Existen alguna poltica
ventajas tcnicas claras de utilizar este tipo de software que adicional de revisin de cdigo en cada una de estas
influyen en el mundo de la seguridad informtica: distribuciones? Son confiables?
a) El anlisis del cdigo fuente puede ser auditado por cualquier No es sencillo responder a las cuestiones anteriores de manera
persona con los conocimientos suficientes. generalista. Por este motivo, se ve interesante centrar nuestro
inters en una de las distribuciones Linux ms populares a nivel
b) El cdigo puede ser modificado y distribuido. Esto puede mundial (Ubuntu), y analizar cmo funciona su repositorio y el
provocar mejoras o parches que corrijan problemas detectados. cdigo fuente de las herramientas que alberga. Antes de esto
Adicionalmente, las organizaciones pueden adaptar el software entendamos un poco mejor como funciona esta distribucin y
a sus necesidades eliminando funcionalidades que no necesitan, el proceso de publicacin y verificacin de aplicaciones.
lo cual necesariamente reducir problemas a futuro (poltica de
recursos mnimos). El sistema operativo Ubuntu est basado en GNU/Linux
(Debian) y se distribuye como software libre. Su patrocinador,
c) El coste del software libre (se distribuye sin cargo) permite Canonical, es una compaa britnica propiedad del empresario
difundir tecnologa de seguridad informtica (parches, sudafricano Mark Shuttleworth. Ofrece el sistema de manera
cortafuegos, IDS, etc.) que facilita crear un ecosistema de gratuita, y se financia por medio de servicios vinculados al
comunicaciones y procesamiento de datos ms seguro. En sistema operativo y vendiendo soporte tcnico. Cada seis meses
general, estas modificaciones no estn sujetas a criterios se publica una nueva versin de Ubuntu. Esta recibe soporte por
comerciales tpicos como el time to market y los aspectos parte de Canonical durante nueve meses por medio de
tcnicos suelen prevalecer frente a otros criterios. actualizaciones de seguridad, parches para bugs crticos y
actualizaciones menores de programas. Las versiones LTS
En este escenario idlico la tendencia a utilizar software libre, o (Long Term Support), que se liberan cada dos aos, reciben
al menos de cdigo abierto, debera ser clara. Aunque, quizs, soporte durante cinco aos en los sistemas de escritorio y de
la asuncin de que el cdigo fuente es revisado servidor. Ubuntu internamente divide todo el software en cuatro
concienzudamente por la comunidad de usuarios debera secciones, llamadas componentes, para mostrar diferencias en
ponerse en cuarentena y optar por una poltica ms activa en licencias y la prioridad con la que se atienden los problemas que
este sentido. De hecho, en los ltimos aos diferentes sucesos informen los usuarios. Estos componentes son: main,
graves han puesto esto de manifiesto. Por ejemplo, uno de los restricted, universe y multiverse. Por defecto se instalan
sucesos ms significativos fue la vulnerabilidad encontrada en paquetes de los componentes main y restricted. Los paquetes
uno de los paquetes software ms famosos a nivel mundial del componente universe de Ubuntu generalmente se basan en
(OpenSSL/Debian) y por tanto se asume que ms revisados. los paquetes de la rama inestable (Sid) y en el repositorio
Despus de una modificacin del cdigo, se introdujo por error experimental de Debian.
un cambio que minimiz la seguridad del generador de nmeros
aleatorios que utiliza este software, permitiendo ataques Conocida esta informacin se plantea la implementacin de un
prcticos a procesos criptogrficos, falsificar certificados X.509 sistema automatizado con el objetivo de intentar detectar de
o atacar claves SSH. Esta vulnerabilidad estuvo presente en el forma continua la introduccin de funciones inseguras en
software durante 2 aos [1]. De hecho, esto est empezando a repositorios Linux. Esta tarea es compleja, por este motivo se
ser ms comn de lo deseable. El ao pasado (2014) se defini habilita un mecanismo de plugins para ir aadiendo diferentes
93
anlisis. En los siguientes apartados se particularizar el uso de Actualmente la plataforma solo permite almacenar los
esta plataforma en la deteccin de funciones inseguras y la resultados en una base de datos PostgreSQL, almacenndose
deteccin de software vulnerable presente en el repositorio del informacin relativa a la vulnerabilidad detectada y el fichero
sistema operativo Ubuntu. donde est presente ese cdigo fuente para facilitar bsquedas
avanzadas.
III. PLATAFORMA PARA LA DETECCIN DE
FUNCIONES INSEGURAS EN REPOSITORIOS LINUX - Bsqueda de patrones e inteligencia
Este componente facilita la tarea del investigador a la hora de

El objetivo de este apartado es describir la plataforma procesar y analizar las detecciones almacenadas en la base de
implementada, vase Figura 1, utilizada para la deteccin datos. Actualmente mediante diversos scripts se permite la
automatizada de funciones inseguras en repositorios de bsqueda de patrones que permitira, por ejemplo, obtener fuga
software libre (en general sera aplicable a otros repositorios de informacin hardcodeada en el propio cdigo fuente (por
que permitan acceder a cdigo fuente). Anlisis posteriores nos ejemplo, contraseas), bsqueda de patrones que desemboquen
permitirn observar si esas funciones inseguras son explotables en vulnerabilidades (getenv(), strcpy(),), obtencin de
o no. funciones inseguras que utilizan parmetros de entrada no
validados, errores de gestin de memoria, etc.
Como se puede ver la plataforma dispone de los elementos

esenciales para adaptarse a diferentes fuentes de datos y
analizar cdigo fuente en diversos lenguajes. De hecho, en
nuestra investigacin en curso, se particulariza el uso de la
plataforma en la deteccin de funciones inseguras en cdigo
fuente desarrollado en lenguaje de programacin C existente en
repositorios Linux, concretamente, en los repositorios oficiales
del sistema operativo Ubuntu. Para ello se configura la
plataforma para que realice la adquisicin de paquetes software
del repositorio de Ubuntu. Actualmente, se han procesado
45.153 paquetes. Estos paquetes son los que se pueden
descargar en una distribucin Ubuntu 14.10 por defecto. Este
Figura 1. Plataforma para la deteccin de vulnerabilidades en repositorios
nmero de paquetes puede ser aumentado incluyendo nuevos
de software.
repositorios en el fichero /etc/apt/sources.list
En la Figura 1 se describe la plataforma genrica utilizada para
En resumen, el proceso completo realizado es el siguiente:
la deteccin automatizada de vulnerabilidades software. Desde
un punto de vista conceptual la plataforma se compone de 3
1. Lectura de un paquete de software proveniente de la
componentes principales:
fuente de datos.
2. Descarga del paquete de software que contiene el
- Adquisicin de datos. Sistema de Crawling.
cdigo fuente de la aplicacin.
3. Los paquetes de software vienen comprimidos en
En el diseo de la plataforma se contempla la posibilidad de
formato tar.gz, llevndose a cabo su descompresin.
adquirir datos de diversas fuentes y empaquetados o
4. Anlisis del cdigo fuente en la bsqueda de funciones
formateados de diversas maneras. El componente de
inseguras.
adquisicin de datos dispone de diferentes mdulos de
5. Almacenamiento de las funciones inseguras y
configuracin que le indicarn la forma adecuada para adquirir
parmetros encontrados en los diferentes ficheros
la informacin y cmo modelarla en funcin del procesamiento
fuente de cada paquete. Se almacena informacin de
y almacenamiento que se le quiera dar. Por ejemplo, es posible
metadatos para facilitar su anlisis posterior.
el desempaquetado de paquetes software, extraccin de su
6. Se procede a la eliminacin del paquete de software
cdigo fuente o facilitar el anlisis de un lenguaje de
descargado, as como de los ficheros descomprimidos
programacin particular.
y analizados.
- Deteccin de vulnerabilidades
Una vez se tiene acceso al cdigo fuente solo es necesario
configurar el componente de deteccin de vulnerabilidades con
Este componente es el elemento central de la plataforma
plugins adecuados que faciliten esta tarea. En nuestra
permitiendo detectar vulnerabilidades software de diferente
investigacin se centra el esfuerzo en la deteccin de funciones
naturaleza en base a una serie de plugins configurados. Por
inseguras. Posteriormente, mediante el componente de
ejemplo, detectar la presencia de funciones inseguras que
podran desembocar en la deteccin de una vulnerabilidad.
94
bsqueda de patrones e inteligencia se analizar la gravedad de IV. ANALIZANDO FUNCIONES INSEGURAS

las detecciones. DETECTADAS EN REPOSITORIOS UBUNTU
En este apartado se destacan los resultados obtenidos al
En este punto, es importante, definir ms detalladamente que se procesar y analizar una serie de funciones potencialmente
entiende por funciones inseguras y documentar cuales estamos inseguras, no recomendadas, procesando 45.153 paquetes de
analizando. Entendemos por funcin insegura, en nuestro caso los repositorios configurados en Ubuntu 14.10 (otras funciones
en lenguaje de programacin C, aquella funcin que por defecto estn en proceso de estudio).
no incluye mecanismos adicionales de chequeo de los
parmetros de entrada, por ejemplo, su tamao, de tal forma que - Funcin strcpy.
en funcin de estos la funcin podra ser utilizada para ejecutar
cdigo no autorizado o forzar un comportamiento anmalo. 12.830 paquetes software (28,41% del total del repositorio)
Obviamente, no siempre una funcin insegura introducir una tienen presentes en alguno de los ficheros que conforman su
vulnerabilidad, pero, como se ver posteriormente, es una cdigo fuente alguna funcin strcpy. De hecho, estos 12.830
condicin necesaria y permite validar de forma sencilla paquetes software tienen un total de 252.029 ficheros de cdigo
software que podra facilitar la ejecucin de exploits. En fuente que contienen al menos el uso de una funcin strcpy. En
cualquier caso dejara en evidencia que el software publicado realidad, el nmero total de funciones strcpy detectadas son
no se audita correctamente. De hecho, existen mltiples 899.500. Lo que hace una media de 3,56 funciones strcpy por
funciones no recomendadas desde un punto de vista de la paquete software.
seguridad en Linux (programacin en C). Actualmente, con los
plugins desarrollados, se detecta las siguientes casusticas: - Funcin sprintf.
- La funcin gets() 12.523 paquetes software (27,73% del total del repositorio)
tienen presentes en alguno de los ficheros que conforman su
Esta funcin permite leer de la entrada estndar un flujo de cdigo fuente alguna funcin sprintf. De hecho, estos 12.523
bytes y los almacenarlos en un array de bytes. El uso de esta paquetes software tienen un total de 265.809 ficheros de cdigo
funcin puede producir un desbordamiento de buffer o buffer fuente que contienen al menos el uso de una funcin sprintf. En
overflow si dicho array es ms pequeo que la fuente de entrada. realidad, el nmero total de funciones sprintf detectadas son
1.333.925. Lo que hace una media de 5,01 funciones sprintf por
- La funcin scanf() paquete software. En funcin de cmo se utilice esta funcin
podra introducir un problema de seguridad. Por ejemplo, un
Esta funcin permite leer la entrada estndar y clasificarla en mal uso de esta funcin sera el siguiente:
funcin de un formato especfico que es indicado por el usuario.
Si el usuario especifica %s, se leern los caracteres del flujo de char buffer[10];
entrada en un buffer hasta que se llegue a un carcter no-ASCII. sprintf(buffer, %s, longitud mayor que 10);
Esta situacin puede provocar un desbordamiento de buffer.
En este ejemplo de cdigo se producir un desbordamiento de
- La funcin strcpy() buffer al copiar una cadena (string origen) de mayor tamao a
un buffer destino de menor tamao. Dependiendo de dnde y
Esta funcin permite realizar una copia de un buffer a otro. Esta cmo se ejecute un ejemplo conceptualmente parecido a este se
situacin provoca que si el buffer de origen es mayor que el podra o no ejecuta cdigo arbitrario.
buffer de destino se desemboque un desbordamiento del buffer
destino. La explotacin de este tipo de vulnerabilidades puede - Funcin scanf
provocar la ejecucin de cdigo arbitrario por parte de un
usuario malicioso. 1780 paquetes software (3,94% del total del repositorio) tienen
presentes en alguno de los ficheros que conforman su cdigo
- La funcin sprintf() fuente alguna funcin scanf. De hecho, estos 1.780 paquetes
software tienen un total de 5.737 ficheros de cdigo fuente que
Esta funcin permite imprimir de manera formateada un buffer. contienen al menos el uso de una funcin scanf. En realidad, el
Si el buffer de destino es menor que el de origen se provocar nmero total de funciones scanf detectadas son 24348. Lo que
un desbordamiento de buffer. hace una media de 5,01 funciones sprintf por paquete software.
En funcin de cmo se utilice esta funcin podra introducir un
En algunas situaciones el uso inapropiado de las funciones problema de seguridad. Por ejemplo, un mal uso de esta funcin
anteriores puede provocar que otras funciones desemboquen en sera el siguiente:
situaciones de riesgo para el usuario dando lugar a otras
vulnerabilidades como puede ser la denominada Use After char buffer[10];
Free. scanf(" Content-Type: %s ", buffer);
95
La funcin scanf lee de la entrada estndar los caracteres funciones strcpy que reciben como parmetro de entrada el
correspondientes al formato que se le especifica. En el cdigo valor obtenido de getenv (contenido en 408 paquetes).
de ejemplo se puede visualizar como se declara un buffer de
tamao 10 octetos. Al utilizar la funcin scanf se leer de la Por ejemplo, los siguientes paquetes tienen en su cdigo la
entrada estndar un flujo de bytes esperando una cadena, es siguiente instruccin:
decir, una cadena que acabe con un byte \0. Si el flujo de bytes
es mayor de 10 octetos se provocar un buffer overflow, ya que strcpy(disp_buf, getenv( "DISPLAY"))
la funcin no controla el tamao de informacin que se recoge
de la entrada estndar. En funcin de dnde y cmo se ejecute Paquetes: cnee.txt, gnee.txt, libxnee-dbg.txt, libxnee-dev.txt,
este ejemplo se podra o no ejecutar cdigo arbitrario. libxnee0.txt, xnee.txt, xnee-doc.txt, etc.
- Funcin gets Por ejemplo:
945 paquetes software (2,09% del total del repositorio) tienen ./xnee-3.19/libxnee/test/disp.c
presentes en alguno de los ficheros que conforman su cdigo 38: strcpy(disp_buf, getenv("DISPLAY"));
fuente alguna funcin gets. En funcin de cmo se utilice esta
funcin podra introducir un problema de seguridad. Por En el caso de argv, un ejemplo podra ser:
ejemplo, un mal uso de esta funcin sera el siguiente:
strcpy(host, argv[1])
char s[8];
printf(Introduce tu nombre, por favor: ); encontrndose en paquetes del estilo a: apcupsd.txt, apcupsd-
gets(s); cgi.txt, apcupsd-doc.txt, libpgpool-dev.txt, libpgpool0.txt,
libxpa-dev.txt, libxpa1.txt, pgpool2.txt, python-pyds9.txt, tcl-
En el caso de que la variable s reciba un tamao de octetos xpa.txt, xpa-tools.txt
superior al buffer que tiene reservado, en este ejemplo 8 octetos,
se producir un desbordamiento. En funcin de dnde y cmo Conocido esto se est recurriendo a diversos procedimientos y
se ejecute este ejemplo se podra o no ejecutar cdigo arbitrario. tecnologas, proceso en definicin y en curso, para aadir
mayor grado de certeza de si los paquetes detectados introducen
V. DETECTANDO APLICACIONES VULNERABLES o no funciones finalmente vulnerables, antes de proceder a un
EN UBUNTU anlisis manual ms exhaustivo.
En el apartado anterior se ha dejado de manifiesto que la En cualquier caso, en este punto se ve interesante documentar
presencia de funciones no recomendadas es, por desgracia, ms algunos de los paquetes ya analizados y verificados
habitual de lo deseable. No obstante, que una funcin sea manualmente.
potencialmente insegura no implica necesariamente que el
software que la contenga tenga una vulnerabilidad que pueda CASO 1: Chemtool. Aplicacin grfica
ser explotada, quizs validaciones previas contrarrestan los
posibles inconvenientes de usar dicha funciones. Por este Una de las vulnerabilidades encontradas con la plataforma de
motivo, en este apartado, dentro de esta investigacin en curso, deteccin de funciones potencialmente inseguras es un Memory
se va analizar si entre ese enorme nmero de funciones no Corruption en la aplicacin Chemtool 1.6.14. La aplicacin
recomendables puede detectarse alguna que facilite la permite realizar ecuaciones qumicas orgnicas de forma
explotacin. En nuestra investigacin, entendemos por grfica. La plataforma detect el uso de la funcin insegura
explotacin alguna vulnerabilidad que afecte al funcionamiento strcpy() y la concatenacin con el uso del paso de parmetros
habitual del programa, por ejemplo, denegacin de servicio, o argv[x] sin chequear dicho uso. Durante la etapa de
ejecucin de cdigo arbitrario. comprobacin de posible vulnerabilidad se instal la aplicacin
en una mquina de prueba con la versin de GNU/Linux
En este artculo se centran los esfuerzos en la funcin no Ubuntu 14.10.
recomendable strcpy, su uso es masivo con 899.500 llamadas,
y la posibilidad de detectar fallos tan tpicos como buffer Esta vulnerabilidad denominada Memory Corruption permite a
overflow. De hecho, existen algunas casusticas del uso de la un atacante crashear la aplicacin introduciendo una entrada
funcin strcpy que podra, si no existen validaciones maliciosa. Este hecho puede provocar tras un anlisis
adicionales, establecer un vector de ataque para cualquier exhaustivo que un atacante podra ejecutar cdigo arbitrario
ante un desbordamiento de buffer. En este caso particular un
usuario con conocimientos mnimos de explotacin de
atacante solo puede explotar esta vulnerabilidad de forma local.
vulnerabilidades. Por ejemplo, se pueden observar 13.880
funciones strcpy que reciben como parmetro argv[], es
El anlisis realizado refleja dos vas de explotacin. La primera
decir se introduce el parmetro desde teclado a la funcin de ellas introduciendo un valor grande como parmetro 1 de la
strcpy, estas funciones se concentran en 2.923 paquetes, o 1347 aplicacin, el cual provoca que la copia de este flujo de entrada
96
a un buffer interno se desborde. De esta forma se consigue el provocar un buffer overflow, en este caso insertando 900
crasheo de la aplicacin por buffer overflow. Para octetos. La Figura 3. se demuestra cmo Ubuntu, si tiene
ejemplificar este hecho se indica la lnea a ejecutar $chemtool configurado polticas de prevencin con el uso de DEP, podra
$(perl -e 'print "A"x900'). Durante el anlisis exhaustivo se mitigar malos hbitos de programacin.
descubri que se utilizaba la misma funcin para analizar el
contenido que se carga en un fichero desde la aplicacin, vase
Figura 2. Se prepar un pequeo cdigo que genera un archivo
malicioso con el objetivo de forzar un comportamiento anmalo
de la aplicacin y poder detectar en qu direccin de memoria
se provoca la prdida del flujo correcto de la aplicacin. La
prdida del flujo normal provoca que sta comience a ejecutar
otras posibles instrucciones. En este instante se ha detectado un
vector para cambiar el flujo para el que la aplicacin fue
desarrollada originalmente. En el caso de Chemtool se provoca
Figura 3. Ataque de buffer overflow a un paquete y mitigacin por parte de
una denegacin de servicio a la aplicacin, ya que no se Ubuntu
controla el flujo por el atacante, sino que solamente se cambia
ste, pero sin control alguno, por lo que se provoca el crash
de la aplicacin. Si, por el contrario, el atacante consiguiese VI. CONCLUSIONES
controlar qu instrucciones se ejecutan despus de cambiar el Esta investigacin presenta la plataforma diseada e
flujo nos encontraramos ante un escenario de ejecucin de implementada para el anlisis del cdigo fuente de los paquetes
cdigo arbitrario. Esto indica que un atacante podra ejecutar
software presente en repositorios Linux. En este artculo se
cdigo arbitrario a travs de dicha vulnerabilidad.
analizan los detalles centrando el uso de la plataforma en los
repositorios configurados por defecto en Ubuntu 14.10, una de
#/usr/bin/ruby
las distribuciones de usuarios ms difundida.
buf = "a"*3000
filename = "crash.png"
Se demuestra la facilidad para detectar funciones
file = open(filename,'w')
file.write(buf) potencialmente inseguras, en el estado actual las funciones ms
file.close sencillas y tpicas. De todas las funciones detectadas, por
puts "file created!" cuestin de tiempo, se centran los esfuerzos en una de ellas,
Figura 2. Ejemplo de explotacin basada en fichero malicioso. strcpy, y se intenta analizar si son vulnerables centrndonos en
un tipo de explotacin concreta (la ms popular), los ataques
Tras realizar un responsable disclosure de la vulnerabilidad se por buffer overflow.
obtuvo un identificador del tipo OSVDB
(http://osvdb.org/show/osvdb/118250) y otro identificador Nuestra investigacin destaca que sin recurrir a procedimientos
EDB (https://www.exploit-db.com/exploits/36024/), estando de anlisis complejos es posible demostrar que hasta las
en trmite la asignacin de un CVE. cuestiones ms sencillas de codificacin segura no son
analizadas mnimamente por la comunidad Ubuntu. Se
CASO 2: Mltiples aplicaciones facilitan ataques de buffer demuestra que existen actualmente aplicaciones que facilitan
overflow usando strcpy vulnerable. introducir fallos de seguridad al sistema operativo por defecto
(los fallos de seguridad sern realmente explotados en funcin
Como se justific en apartados anteriores se estn detectando de las contramedidas que se establezcan en cada sistema
mltiples aplicaciones donde se puede provocar ataques de operativo). El escenario ms bsico sera fallos de negacin de
buffer overflow. Algunos ejemplos son: servicio y el ms grave, si se puede aprovechar el buffer
overflow, ejecucin de cdigo.
- flasm
- bibcursed
- dnsmasq -> dhcp_release
Actualmente se est trabajando en analizar y probar, uno a uno,
- bwbasic los paquetes sospechosos, documentando y registrando (CVE,
- acedb-other-belvu OSVDB, etc.) los hallazgos mediante una poltica de
- abcmidi-yaps responsable disclosure que facilite a la comunidad Ubuntu
- mejorar la calidad del software desarrollado. Del mismo modo
se est verificando si los fallos descubiertos se mantienen y
La generacin de un ataque de buffer overflow a todas estas consumen, por reutilizacin de cdigo, en otros sistemas
aplicaciones comparte gran similitud en el procedimiento, operativos Unix/Linux. De momento, y en el caso particular del
pudiendo diferenciarse en pequeos detalles en funcin de los sistema operativo Ubuntu, no se ha detectado ninguna
parmetros que el analista pueda modificar. Por ejemplo, si se herramienta que permita ejecucin de cdigo arbitrario evitado
selecciona el programa abcmidi-yaps (converts an abc file to a la configuracin por defecto de mitigacin de Ubuntu (DEP
PostScript file) una vez detectado que existe una funcin strcpy Data Execution Prevention).
que recibe parmetros de entrada de teclado sin validar es trivial
97
REFERENCIAS
[1] Bello, L. Debian Security Advisory. DSA-1571-1 openssl predictable
random number generator. https://www.debian.org/security/2008/dsa-
1571
[2] Heartbleed bug. http://heartbleed.com/
[3] Shellshock bug.

https://en.wikipedia.org/wiki/Shellshock_%28software_bug%29
98
Ingeniera inversa: mtodos utilizados y anlisis de

tcnicas para la proteccin de software
Alberto Garca Moro y Vctor A. Villagr Gonzlez
Universidad Politcnica de Madrid - Escuela Tcnica Superior de Ingenieros de Telecomunicacin
alberto.garcia.moro@alumnos.upm.es y villagra@dit.upm.es
Resumen- La ingeniera inversa ayuda a entender cmo software.

funciona un programa y cmo est diseado. Debido a esto, Por otro lado, est el tipo de interfaz, encargado de conocer
es posible hacer uso de ella para desbloquear archivos que la estructura y el comportamiento de las interfaces que forman
estn protegidos, por ejemplo si necesitan una clave para el sistema, sabiendo qu acciones bsicas realiza cada interfaz
funcionar o para acceder a utilidades internas de pago. En manteniendo la lgica interna del programa.
este documento se hace un breve resumen sobre cmo se Y por ltimo, destaca el tipo de ingeniera inversa de datos,
puede usar la ingeniera inversa para ello y as estudiar los que se aplica sobre la parte de cdigo que contiene las bases de
mtodos necesarios para impedir el acceso libre a estos datos para reconocer su estructura y cmo se organizan los
programas mediante herramientas como depuradores, datos en el programa. El proceso de ingeniera inversa [2] se
utilidades muy usadas para desproteger programas. puede ver en la Fig 2.
I. INTRODUCCIN
La ingeniera inversa [1] estudia un producto, terminado o
con cierto grado de completitud, con el fin de obtener detalles
acerca de su diseo y/o funcionamiento, al contrario que el
proceso clsico de ingeniera o ingeniera directa.
Por tanto, es un proceso que funciona hacia atrs, pudiendo
analizar software y productos electrnicos sobre todo, aunque
tambin se puede utilizar como herramienta de anlisis sobre
cualquier otro producto de ingeniera.
Hay que destacar que en el proceso de ingeniera inversa el
sistema o producto analizado no debe cambiar, sino que se
produce informacin acerca de su funcionalidad.
Fig 2. Desarrollo de ingeniera inversa del software
Se debe destacar que, a pesar de que en este documento se

va a ver la ingeniera inversa como herramienta de desbloqueo
de programas (y despus de entender su uso, los mtodos para
poder proteger los archivos de su utilizacin), s que el uso de
la ingeniera inversa puede ser legal en Espaa bajo
condiciones de interoperabilidad entre software, si se necesitan
datos de un programa para hacerlo compatible con otro.
Como se ha dicho, muchos programas requieren una clave
de acceso para hacerlo funcionar o tener acceso al programa
completo. Para hacer esto, es necesario hacer uso de tcnicas y
herramientas de ingeniera inversa para descubrir la clave, que
Fig 1. Diagrama de ingeniera inversa normalmente va embebida en el cdigo para que al introducirla
se pueda comprobar. Aunque hay muchas tcnicas y formas de
La ingeniera inversa del software es la rama que se encarga desproteger un programa, este documento se centra en hacer
del estudio de los programas, obteniendo su cdigo fuente para difcil conseguir esta clave de programa.
trabajar posteriormente con l. Hay varios tipos dependiendo A continuacin se van a describir estas herramientas y
de la parte a estudiar del programa. tcnicas y una serie de mtodos que pueden hacer que el
Por un lado est la ingeniera inversa del software de programa no se pueda analizar o sea mucho ms difcil de
proceso, quiz la ms importante de todas, ya que estudia la hacer mediante las herramientas descritas para as protegerlos
lgica del programa, para comprender el funcionamiento del frente a estos ataques.
99
II. TCNICAS cadenas con patrones que pueden ser una clave del producto. Si
A la hora de desbloquear un programa, se puede optar por hay muchas cadenas (algo que ocurre con bastante asiduidad)
parchear el cdigo, de forma que no se haga la comprobacin lo que se hace es ir avanzando en el programa con el depurador
pertinente de la clave, o conseguir una clave vlida que se para ver qu cadena es la que finalmente se compara al valor
verifique en el programa. En este captulo se van a ver estas que introduce el usuario y qu operaciones se hacen sobre ella.
tcnicas [1], aunque hay muchas ms.
C. Elaboracin De Generador De Claves
A. Parches En la seccin anterior, el programa tena una nica clave,
Una de las tcnicas ms utilizadas para superar la proteccin igual para todos los usuarios. En este caso, el problema es que
de algunos programas es el uso de parches de cdigo. Su la clave para cada uno de los usuarios es distinta o hay multitud
principal objetivo es cambiar el cdigo del programa para de claves vlidas, existiendo un algoritmo de claves que se
variar su flujo natural de ejecucin, con el fin de que ciertas encarga de verificarlas en el programa. Por lo tanto, es posible
comprobaciones u operaciones no se lleven a cabo. crear un generador de claves o keygen mediante un algoritmo
La manera de llevar a cabo un parche es el cambio de que fabrique claves correctas.
instrucciones del cdigo original. La forma ms habitual de Para conseguir crear este algoritmo que pueda generar claves
hacerlo es utilizar un depurador como OllyDbg. Sin entrar en vlidas hay que realizar un estudio de ingeniera inversa puro,
mucho detalle, ya que se ver el depurador en el prximo para ver cmo se va comprobando y testando el nmero o
captulo, es un tipo de software que permite controlar la cadena de texto de registro introducido en el programa. Hay
ejecucin del programa objetivo, viendo las instrucciones que una gran variedad de algoritmos utilizados para generar claves,
se ejecutan y el estado de las principales variables. cuya complejidad es diferente en cada caso, dependiendo del
Los cambios que se suelen llevar a cabo son modificaciones, nmero de operaciones.
antes o despus de comparaciones o test que se hacen en el Los algoritmos que se aplican pueden ser totalmente
programa original o variaciones de los tipos de saltos a independientes del usuario, como por ejemplo utilizar nmeros
subrutinas (o insertando otros nuevos) que se dan en el cdigo. que sean mltiplos de otro o que mantengan cualquier otro tipo
Los mtodos frecuentes para saber en qu lugar aplicar estos de relacin entre ellos, mientras que hay otros algoritmos que
cambios es mediante la bsqueda de cadenas que puedan ser la utilizan algn dato especfico de cada usuario como parte del
clave o la comprobacin de APIs que ofrecen las bibliotecas, clculo del nmero o cadena de registro, como puede ser el
operaciones que suelen ser las encargadas de verificaciones. nombre de este usuario o algn dato nico, como el nmero de
Estos cambios que se hacen son permanentes y se mantendrn identificacin.
siempre que se ejecute el programa.
Otra opcin para realizar cambios pasajeros en los III. HERRAMIENTAS
programas es mediante el uso de Loaders, programas que Para llevar a cabo las tcnicas anteriores, en todas se tiene
cargan ejecutables en memoria para poder realizar cambios en algo en comn: es necesario conocer el cdigo del programa
ejecucin, volviendo el programa al estado original al finalizar porque hay que estudiarlo.
la ejecucin. Sin embargo, los programas que se intentan desproteger son
programas de los que solo se tiene un ejecutable compilado y
B. Obtencin De Clave listo para funcionar, por lo que no se tiene acceso al cdigo de
Como se ha mencionado antes, en numerosas ocasiones los forma directa.
programas que se adquieren en el mercado estn protegidos Debido a ello, entran en juego las herramientas de ingeniera
con una clave de uso que hay que introducir al iniciar el inversa [3], que ayudan a obtener y estudiar el cdigo de estos
programa, ya sea al principio de su uso o despus de un ejecutables compilados.
perodo de tiempo si este tiene una versin de prueba. Hay diferentes herramientas que se pueden utilizar en el
En algunas situaciones, esta solicitud de clave se puede campo de la ingeniera inversa, algunas muy especficas, como
parchear. Por ejemplo, las versiones con un perodo de prueba las herramientas CASE [4] o herramientas de insercin de
suelen utilizar ciertas APIs de chequeo del sistema como son fallos, y otras ms generales, como los desensambladores.
GetLocalTime o GetSystemTime, entre otras. Con ellas se Para el caso de obtencin de claves para desbloquear
llevan a cabo las comprobaciones de cunto tiempo lleva el programas, hay dos herramientas que marcan la diferencia
usuario utilizando el programa y ver si se ha cumplido ya el respecto a las dems y que son las ms usadas para este tema:
tiempo de prueba del mismo. Buscando en el cdigo estas el desensamblador y el depurador. A continuacin se van a
APIs, es posible cambiar el flujo para que no se haga la estudiar estas dos herramientas fundamentales.
comprobacin o para que se haga de forma incorrecta.
Sin embargo, esto no siempre es posible, es muy complicado A. Desensamblador
o simplemente se quiere obtener la clave o serial para no tener Como su propio nombre indica, los desensambladores son
que parchear el programa, que en el futuro puede tener algn herramientas destinadas a convertir cdigo mquina en
problema. Por todo ello, en muchas ocasiones se estudia el lenguaje ensamblador, un lenguaje legible para analizar, y as
cdigo del programa mediante un depurador como OllyDbg revelar las instrucciones que son usadas en el cdigo del
para hallar la clave o serial. Esto es un nmero o texto (una programa. Este cdigo mquina es especfico para cada
cadena) que es idntico para todos los usuarios y que arquitectura de hardware.
normalmente tiene que ir embebido en el propio cdigo. Cualquier desensamblador debe hacer ciertas suposiciones a
Para encontrarlo, lo normal es buscar en el cdigo las fin de presentar el cdigo que se intenta desensamblar de
100
manera clara. Estas suposiciones que se hacen pueden variar el avanzar por las instrucciones del programa. Cuando se hace
cdigo obtenido, ya que no es algo trivial el orden de step-over, lo que en realidad se est haciendo es un bypass.
desensamblado. Para entenderlo mejor, si se lleva a cabo un step-over sobre una
Hay principalmente dos tipos de algoritmos para hacer un funcin, la siguiente instruccin que se ver en el depurador es
desensamblador: linear (lineal) y flow-oriented (orientado a la posterior al return de la funcin referida anteriormente.
flujo). El algoritmo lineal es ms fcil de implementar, pero En cambio, si se hace un step-into sobre esa funcin, hara
tambin es ms propenso a errores. que se analizaran todas sus instrucciones, por lo que la
La principal diferencia entre los algoritmos anteriores es que instruccin que aparecer en el depurador despus de la
mientras que el mtodo lineal analiza cdigo de manera llamada a la funcin ser la primera instruccin de esta.
secuencial en la memoria sin importar de que tipo sean las Para llevar a cabo el anlisis, el usuario del depurador activa
instrucciones, el algoritmo orientado a flujo estudia el tipo de puntos de parada o breakpoints en el programa ejecutado. Un
cada instruccin para hacer supuestos y examinar mejor el breakpoint es una instruccin que permite al depurador parar la
cdigo. ejecucin del programa cuando cierta condicin se cumpla. Por
Esta diferencia puede entenderse mejor con los saltos ejemplo, cuando un programa accede a cierta variable, o llama
condicionales. Cuando el algoritmo lineal se encuentra con una a cierta funcin, el depurador puede parar la ejecucin en ese
instruccin que es un salto condicional, este algoritmo suele momento. Estos puntos de parada se pueden realizar de distinta
analizar la rama falso, de forma que hara como si el salto no se manera y se detalla en los siguientes prrafos
fuese a cumplir, y seguir desensamblando linealmente. Por defecto, los depuradores ms usados utilizan breakpoints
Sin embargo, el algoritmo orientado a flujo se comportara basados en software, que son implementados introduciendo
de otra forma. Al llegar al salto condicional, tambin se una INT 3 (se ver con ms detalle en siguientes secciones)
seguira la rama falso. Sin embargo, antes de saltar a otra modificando el primer byte de esa instruccin. Se pueden
subrutina por encontrar un salto incondicional, por ejemplo, se aadir de manera ilimitada, ya que el gasto de memoria para
volvera a la instruccin anterior del salto condicional para guardar los cambios es mnimo.
desensamblar la otra rama. Por tanto, este algoritmo es mucho Por otro lado, tambin se pueden implementar puntos de
ms completo. parada llevados a cabo por hardware, en los que se compara,
cada vez que se ejecuta una instruccin, si el puntero de la
B. Depurador instruccin es igual que la direccin del breakpoint. Una
Los depuradores son herramientas que se utilizan para ventaja que tiene sobre los breakpoints por software es que se
controlar la ejecucin de otros programas. Permiten avanzar pueden hacer respecto a una determinada direccin de
paso a paso por el cdigo, rastrear fallos, establecer puntos de memoria, sin importar lo que se haga en ese lugar de la
control y observar las variables y el estado de la memoria en un memoria ni el cdigo que se est ejecutando. Sin embargo,
momento dado del programa que se est analizando tienen una clara desventaja respecto a los anteriores: solo se
(depurando). Son muy valiosos a la hora de determinar el flujo puede disponer de un nmero limitado de breakpoints hechos
de procesamiento del programa. por hardware.
Los depuradores avanzados suelen incorporar de serie un Por ltimo, otro tipo de breakpoints utilizados son los puntos
desensamblador, opciones de reensamblado o edicin de parada condicionales, que solo se producen si se dan ciertas
hexadecimal, dado que el software a analizar, como se ha dicho condiciones. Son breakpoints implementados por software, por
anteriormente, es ya un programa compilado (normalmente) y, lo que el depurador, cuando llega al punto de parada, examina
por tanto, no se tiene acceso al cdigo fuente. Los depuradores las condiciones y si no se cumplen, sigue con la ejecucin
permiten, de forma general: normal.
El uso de breakpoints lleva consigo un retardo considerable
- Ejecutar instruccin a instruccin un programa. respecto a la instruccin original, con lo que no es
- Detener la ejecucin temporalmente en una instruccin recomendable utilizar breakpoints en una instruccin o funcin
concreta o bajo determinadas condiciones de ejecucin. que es llamada con mucha frecuencia. Estos cambios y paradas
- Visualizar el contenido de las variables en un determinado hechos sobre la ejecucin de un determinado programa sirven
momento de la ejecucin. para comprobar su ejecucin, pero a su vez, el uso de un
- Cambiar el valor del entorno de ejecucin para poder ver depurador puede afectar al modo de ejecucin. De hecho, el
el efecto de una correccin en el programa. software a menudo se ejecuta de manera distinta en un
- Cambiar el orden de ejecucin de un programa. depurador, debido a los cambios que este realiza sobre la
temporizacin, lo que hace difcil en ocasiones seguir algunos
Generalmente, cuando se est analizando un programa, la errores.
preocupacin o el objetivo principal es saber qu hace, por lo Por otro lado, la funcionalidad que tiene un depurador se
que, en condiciones normales, no es necesario conocer el puede utilizar como herramienta de cracking para evitar la
propsito de cada una de las llamadas dentro del programa a proteccin anticopia, gestin de derechos digitales y otro tipo
analizar. Esto sucede, por ejemplo, cuando dentro de un de protecciones que tiene el software, lo que le hace ser una de
programa se carga una librera y no se quiere conocer cada uno las herramientas ms usadas para ingeniera inversa.
de sus detalles, lo que ahorra una gran cantidad de tiempo a la Como se ha explicado antes, ciertos programas requieren
hora de realizar el anlisis. una clave de entrada que se introduce al arrancar el ejecutable.
Para llevar a cabo este ahorro de instrucciones hay que Sin poseer esa clave, no se puede acceder a las utilidades del
diferenciar entre las opciones de step-over o step-into para programa, ya sea total o parcialmente. Una tcnica para
101
averiguarla es utilizar ingeniera inversa para analizar el inicio instrucciones puede tener diferentes representaciones al
del ejecutable, en el momento en el que se introduce la clave desensamblar, algunas de ellas invlidas, que hacen que el
para su posterior verificacin. trabajo sea mucho ms difcil.
Un depurador, como por ejemplo OllyDbg, ofrece un Por tanto, las tcnicas de anti-desensamblado buscan
desensamblado del cdigo y una vista de los principales aprovechar eso, crear secuencias de cdigo que pueden
registros durante la ejecucin, que ayuda a consultar el estado engaar al desensamblador.
del programa. Para obtener la clave hay que analizar el La mayora de los desensambladores tienen problemas
ejecutable mediante depurador. Dependiendo de la forma en cuando tienen que hacer ciertas suposiciones en bifurcaciones,
que est hecho, ser ms fcil o difcil, o habr que mirar unas como con saltos condicionales. Precisamente esto es lo que se
secciones de cdigo u otras. puede aprovechar para hacer la tarea ms difcil al
Lo primero que hay que hacer es ejecutar el programa para desensamblador.
ver cmo funciona. En principio, la estructura bsica de estos Una posibilidad es poner dos instrucciones de salto
programas es sacar algn tipo de pantalla de bienvenida que te condicionales seguidas con el mismo objetivo. Si se ponen dos
solicita, directa o indirectamente, la clave del programa. Tras instrucciones de salto seguidas con el mismo objetivo y se
insertarla, normalmente saldr un mensaje de verificacin o selecciona de manera oportuna el tipo de saltos, se puede
bienvenida al programa o de negacin de uso, en el caso de que confundir al desensamblador. Por ejemplo, si se utiliza el salto
sea incorrecta. condicional jz (que salta si es igual o si es cero), seguido de un
Por tanto, la estrategia bsica es ejecutar el programa con jnz (que salta si no es igual o si no es cero), ambos con el
puntos de parada en los momentos clave, como son la insercin mismo destino, lo que en realidad se est realizando es un salto
de la clave y la verificacin. Para ello se insertan breakpoints incondicional. Sin embargo, el desensamblador no es capaz de
en la funcin que recoge la clave insertada y la funcin que interpretar esto como un salto incondicional, ya que no puede
saca el mensaje final por pantalla. Los depuradores, y en este interpretar ms de una instruccin a la vez. Esto implica que en
caso concreto OllyDbg [5], posee una utilidad que permite ver el proceso de desensamblado se analizarn las dos
qu funciones se estn usando en el programa y aadir un instrucciones por separado y, como se ha visto anteriormente,
punto de parada en cada una de las veces que esa funcin es se analiza primero (normalmente) la rama falso de los saltos
utilizada en el cdigo. condicionales. Por tanto, se analizar el cdigo pasando por los
Una vez aadidos los breakpoints se procede a ejecutar el dos saltos condicionales en la condicin de falso, cuando en la
programa bajo el depurador. Esto har que se tenga que ejecucin del cdigo es imposible, ya que las dos instrucciones
introducir una clave de programa a modo de prueba para que el juntas son iguales a un salto incondicional.
programa siga la ejecucin. Esta clave de prueba puede ser una Otra posibilidad es utilizar un salto condicional con una
gran ayuda a la hora de estudiar el programa, ya que se puede condicin interpuesta anteriormente que siempre se cumpla.
seguir lo que se hace con ella en la ejecucin, como Sigue el mismo principio anterior, ya que en realidad la
comparaciones u otras operaciones, y as averiguar la clave. construccin es un salto incondicional tambin, pero el
desensamblador no es capaz de interpretarlo as, por lo que se
IV. MTODOS ANTI-REVERSING analizar la rama falso.
Los procesos de ingeniera inversa pueden llegar a ofrecer Hay muchas ms tcnicas y construcciones especiales para
muchos detalles sobre un programa. Si el anlisis se hace de realizar anti-desensamblado. Por ejemplo, los manejadores de
una forma correcta y el software objeto de estudio no tiene excepciones tambin suelen suponer algunas dificultades a los
cierta proteccin, la obtencin de informacin est garantizada, desensambladores, ya que no saben interpretarlos.
como se ha visto para obtener una clave de programa.
Para que esto no suceda con tanta facilidad, existen los B. Anti-Depurado
llamados mtodos anti-reversing [6], [7] y [8]. El reversing es El anti-depurado es una de las tcnicas ms usadas a la hora
la obtencin de cdigo de un programa, y por tanto, estos de impedir los procesos de ingeniera inversa. Se basan
mtodos, como su propio nombre indica, son procedimientos a principalmente en hacer que el software sepa que est
la hora de construir el cdigo que hacen que sea ms difcil ejecutndose bajo un depurador.
conseguir el cdigo fuente de un programa. Desde el momento en que eso ocurre, el programa puede
Es decir, aadir obstculos a la hora de obtener el cdigo variar su flujo natural de ejecucin y as esconder parte de su
mediante el uso de las herramientas anteriormente descritas. A funcionalidad, provocar errores o hacer creer que el programa
continuacin se vern distintos tipos de mtodos anti-reversing funciona correctamente cuando en realidad se est ejecutando
para las herramientas anteriormente descritas. de otra manera, que hace el proceso de ingeniera inversa ms
tedioso.
A. Anti-Desensamblado Hay dos maneras principales de efectuarlas: detectar que el
El anti-desensamblado se basa en utilizar cdigo o depurador est funcionando, y as cambiar el modo de
estructuras de datos diseadas en un programa para hacer que funcionamiento, o el estudio del comportamiento de un
los desensambladores funcionen de manera incorrecta. programa en el depurador. A continuacin se expondrn
De esta forma, el cdigo se descompone en instrucciones algunos de los mtodos ms utilizados en la prctica.
incorrectas o en desorden. Esta tcnica se puede llevar a cabo Hay APIs que incluyen funciones que pueden ser usadas por
con herramientas en el momento de construccin del software un programa para determinar si est corriendo bajo un
o bien directamente sobre el cdigo de forma manual. Adems, depurador o no. Estas funciones, como IsDebuggerPresent o
el desensamblado no es algo simple. Una secuencia de CheckRemoteDebuggerPresent (entre otras) permiten consultar
102
la informacin de la cabecera de los procesos del programa las instrucciones irrelevantes y restaurar la estructura del
para saber si la ejecucin se est llevando a cabo bajo un cdigo original.
depurador. Cabe destacar que estas comprobaciones tambin se Adems, una ofuscacin de cdigo suele tener un coste que
pueden efectuar manualmente sin hacer uso de las funciones va asociado a la transformacin. Este coste puede ser tener un
anteriores. cdigo ms grande que el original, tiempos de ejecucin ms
Por otro lado, en cuanto a estudiar el comportamiento del altos o el aumento de consumo de memoria durante el tiempo
programa dentro del depurador, hay varias opciones. Una de de ejecucin.
ellas es la bsqueda de interrupciones en el cdigo. La INT 3 La mayora de estas transformaciones se pueden hacer
es la interrupcin de software ms usada en los depuradores automticamente mediante la ejecucin de un ofuscador para
para reemplazar, de manera temporal, una instruccin del un programa ya terminado y compilado. Sin embargo, muchas
programa en ejecucin. Es la forma bsica de crear un de estas transformaciones se pueden aplicar manualmente.
breakpoint. El cdigo de operacin de la INT 3 es 0xCC, de La ofuscacin automtica es, obviamente, mucho ms
manera que al crear un breakpoint en el depurador, en el cdigo eficaz, ya que permite introducir confusiones en el programa
se inserta 0xCC. De esta manera, si un programa quiere evitar entero y no solo en pequeas partes de l. Adems, la
estas interrupciones, no tiene ms que buscar ese cdigo ofuscacin automtica se realiza normalmente despus de que
durante la ejecucin y si lo encuentra, desviar el flujo de el programa sea compilado, lo que significa que el cdigo
control del programa hacia un cdigo incorrecto para no poder fuente original no se hace menos legible, mientras que si se
usar de forma adecuada el depurador. hace manualmente el cdigo original ser menos comprensible.
Otra tcnica es realizar checksums en el cdigo. Parecido al Unos de los ofuscadores ms utilizados son aquellos que
mtodo anterior, solo que en vez de realizar una bsqueda de transforman el cdigo en ByteCode de lenguajes como Java,
cdigos de la interrupcin INT 3, se hace una comprobacin dado que llevar a cabo la descompilacin de sus ejecutables es
con CRC (cyclic redundancy check) o MD5 checksum. Es un sencilla.
mtodo menos utilizado que el anterior, pero es igual de
efectivo, ya que se basan los dos en el mismo principio. V. EJEMPLO DE CDIGO OFUSCADO
La comprobacin de tiempos es otro mtodo muy utilizado Una opcin bastante til es usar la ofuscacin con lenguajes
tambin. Basado en que la ejecucin de un programa, en cuyo cdigo se puede sacar a travs de descompiladores. Un
presencia de un depurador, es siempre ms lenta, por ejemplo descompilador es una herramienta que devuelve el cdigo del
cuando se ejecuta instruccin a instruccin. Hay dos opciones ejecutable en lenguaje de alto nivel, como por ejemplo Java,
(frecuentes) a la hora de realizar esta comprobacin: realizar pero que necesita que se incluyan muchos metadatos en el
un timestamp cuando se lleven a cabo un par de operaciones y cdigo para poder llevar a cabo la descompilacin.
luego tomar otro valor y compararlos para ver si hay lag o En el caso de Java, al correr sobre mquina virtual (JVM,
tomar un timestamp antes de la lanzar una excepcin y otro Java Virtual Machine), utiliza un lenguaje intermedio que
despus. Si el programa no est siendo depurado, la excepcin incluye mucha informacin que un descompilador puede usar
ser manejada de forma rpida y viceversa. para obtener el cdigo del ejecutable. Hay ms lenguajes a
Por ltimo, se puede interferir en el depurador haciendo que parte de Java que tienen estas caractersticas.
se ejecute cdigo antes del punto de entrada que aparece en el Esto hace que, por ejemplo, sacar el cdigo en claro de un
depurador o aprovechando posibles vulnerabilidades del ejecutable .jar sea muy sencillo, ya que con el simple uso de un
depurador que lo hagan funcionar de manera incorrecta. descompilador se tiene acceso a l.
Es por eso que, en este caso, el uso de la ofuscacin sera
C. Cdigo Ofuscado una gran idea para impedir llevar a cabo un estudio del cdigo
Las tcnicas anti-reversing vistas anteriormente son buenas mediante ingeniera inversa, ya que el cdigo siempre se va a
para retrasar al analista que est tratando de hacer ingeniera poder obtener. Pero si sobre ese cdigo se pasa un ofuscador,
inversa para obtener el cdigo. Sin embargo, esta tcnica no de manera que cambie los valores de las variables, mtodos,
har mas difcil la obtencin del cdigo, sino que lo que har etc., a la vez que se aaden ms variables, se aade dificultad.
ser hacer el cdigo menos comprensible para el analista. De esta forma, despus de ofuscar un ejecutable .jar, si se
La ofuscacin de cdigo se basa en complicar el cdigo con descompila de nuevo para comparar el cdigo obtenido
el fin de que no se entienda bien. Se aaden variables y despus de la ofuscacin con el de antes de la ofuscacin. el
operaciones que no se utilizan en nuestro cdigo inicial y que resultado es distinto. Ahora el cdigo que se obtiene, si bien es
hace que el analista obtenga mucha informacin, pero poco el mismo en la forma, no es igual en el contenido, ya que los
relevante acerca de nuestro cdigo. Esta complejidad que se nombres de variables y dems han sido cambiados de forma
aade al cdigo se puede medir y se denomina potencia de aleatoria, por ejemplo.
ofuscacin. Es decir, cuando se ofusca un cdigo, este se obtiene, pero
Ms all de la complejidad adicional introducida, la solo se tiene la informacin de sus operaciones, no de los
ofuscacin producida debe ser (o debe intentar ser) una nombres de los elementos que tiene el programa, lo que hace
transformacin que no se pueda deshacer fcilmente, ya que es mucho ms difcil la obtencin de informacin.
posible crear desofuscadores. Un ejemplo de esto se puede encontrar en [9], donde se
Un desofuscador es un programa que implementa varios desarrolla un caso prctico en el que se ofusca un archivo .jar
flujos de datos y algoritmos de anlisis en un programa y, posteriormente, se descompila el ejecutable (que mantiene su
ofuscado que, a veces, le permiten separar la informacin funcionalidad despus de la ofuscacin) para ver el resultado,
importante de la prescindible y automticamente eliminar todas
103
que se recoge en la Fig. 3. Por tanto, si se quiere dificultar o imposibilitar que se pueda
obtener la clave (o cualquier otro mtodo de burlar la seguridad
de un programa) mediante ingeniera inversa, aparte de mejorar
el algoritmo de claves, se pueden aadir mtodos anti-
reversing que dificulten el uso de las herramienta de ingeniera
inversa, sobre todo del depurador.
Por supuesto, el tiempo que se tarda en obtener el cdigo es
proporcional al tiempo que se tarda en protegerlo. Si se toman
pocas (o ninguna) medidas anti-reversing, el cdigo fuente se
obtendr de manera lo suficientemente limpia para poder
trabajar con l y obtener la clave.
Por otro lado, si se usan muchas de las tcnicas anti-
reversing analizadas, de manera conjunta, se puede lograr que
cueste mucho esfuerzo y tiempo conseguir un cdigo para
poder analizarlo.
En definitiva, cuantos mas mtodos anti-reversing se usen a
la hora de construir el programa, ms seguro se estar frente a
cualquier ataque que quiera desproteger el programa.
REFERENCIAS
Figura 3. Ejemplo de ofuscacin
[1] Ricardo Rodrguez, Introduccin a la ingeniera inversa,
Universidad de Zaragoza, 2011. webdiis.unizar.es/~ftricas/
Como se puede observar, los nombres de las clases han Asignaturas/seguridadD/Transparencias/RicardoRodriguez.pdf
cambiado por letras de manera aleatoria, y adems los nombres [2] Ingeniera inversa. http://www.programacion.com.py/varios/
de variables, mtodos, etc. tambin estn cambiados dentro de ingenieria-inversa
cada clase, por lo que la informacin obtenida ha sido reducida [3] Slideshare, Ingeniera inversa y reingeniera de software.
http://es.slideshare.net/moimedinaq/ingeniera-inversa-y-
de forma destacada. reingeniera-de-software
Al cambiar solo nombres de variables, mtodos, etc, no [4] Herramientas CASE. http://www.monografias.com/trabajos14/
conlleva un coste de ejecucin superior, ya que las operaciones herramicase/herramicase.shtml
son las mismas en ambos casos y, por tanto, la ejecucin es la [5] OllyDbg. http://www.ollydbg.de/
misma. [6] Michael Sikorski y Andrew Honig. Practical Malware Analysis:
The Hands-On Guide to Dissecting Malicious Software. Edicin
A su vez, si se hubieran introducido operaciones adicionales 2012, editorial No Starch Press.
para dificultar la comprensin del programa, s que habra un [7] Eldad Eilam. Reversing: Secrets of Reverse Engineering.
coste de ejecucin aadido, ya que el programa tendra ms Edicin 2015, editorial John Wiley & Sons.
instrucciones. [8] Dennis Yurichev. Reverse Engineering for Begginers. Edicin
2015, licencia Creative Commons.
[9] Alberto Garca Moro. Trabajo Fin de Grado Anlisis de tcnicas
VI. CONCLUSIONES de ingeniera inversa del software, Universidad Politcnica de
El uso de claves en los programas para permitir su uso es Madrid, 2015.
una prctica extendida. Los desarrolladores ponen una clave
que los usuarios tienen que adquirir por algn tipo de proceso
comercial que hace que se puedan sufragar los gastos que
conlleva el desarrollo del software. Por otro lado, tambin hay
muchas otras tcnicas para proteger los programas, como el
cifrado y descifrado del cdigo.
En este documento se han visto una serie de tcnicas y
herramientas que se pueden usar para salvar la clave de los
programas y tener acceso a su uso, a la vez que otra serie de
formas de desprotegerlos. La herramienta ms til en este
aspecto es, sin duda, el depurador. Un depurador permite
analizar y estudiar un programa en ejecucin, sin tener que leer
todo el cdigo que se puede obtener, por ejemplo, en un
desensamblador.
Adems, permite parar la ejecucin del programa y estudiar
los momentos ms importantes del programa, como la
insercin de la clave, de una manera sencilla. De esta forma, la
obtencin de la clave o del algoritmo generador de claves es
posible. Su obtencin depender de las operaciones y
comparaciones que se lleven a cabo con la clave introducida, lo
que puede complicar su consecucin, o si la clave est en claro
dentro del cdigo, lo que facilita su obtencin.
104
Prototipado rapido de un analizador de malware

para Android empleando Razonamiento Basado en
Casos
Francisco J. Ribadas-Pena, Manuel Banobre-Gomez
Departamento de Informatica, Universidade de Vigo
Edificio Politecnico, Campus As Lagoas, S/N. 32004 Ourense
ribadas@uvigo.es, mbgomez2@esei.uvigo.es
ResumenSe presenta un trabajo en curso para el desarrollo analoga de un modo adaptativo. Ante una aplicacion a analizar
de un prototipo de marco generico para el analisis y deteccion de se decide, en base a las experiencias previas, cual es el analisis
aplicaciones maliciosas (malware) sobre la plataforma Android. mas convenientes para ser aplicado sobre ella. Una vez incor-
La aproximacion seguida emplea un esquema de razonamiento
basado en casos (CBR, Case Based Reasoning) adaptativo, que porada esta nueva informacion, se repite el proceso para tomar
enriquece la representacion de las muestras analizadas mediante una nueva decision sobre la muestra, bien para identificarla
el uso de modo iterativo de diversos extractores de caractersti- como maligna, benigna o indeterminada, o bien para decidir
cas. El esquema CBR implementado hace uso de herramientas aplicar un nuevo analisis que anada informacion adicional
habituales en el campo de la Recuperacion de Informacion para que enriquezca la representacion de la muestra analizada.
hacer posible el soporte de grandes colecciones de muestras.
La intuicion detras de este esquema es que sera el propio
sistema quien, en base a su experiencia anterior, decida como
I. I NTRODUCCI ON ir analizando las muestras estudiadas y que nueva informacion
El analisis y deteccion de software malicioso (malware) es debe incorporar a la representacion de la misma para facilitar
un area de investigacion muy activa, especialmente en el caso su categorizacion final. Esta intuicion se corresponde tambien
de la plataforma Android, donde, debido a la abundancia de con la idea de que es conveniente afrontar la tarea de deteccion
dispositivos y aplicaciones disponibles, existe un gran numero de malware desde distintas dimensiones, manejando diferentes
de aproximaciones y tecnicas descritas en la bibliografa. fuentes de informacion y evidencias.
De un modo general se diferencian dos grandes aproxi- En la seccion II esbozamos los fundamentos del metodo
maciones a la hora de enfrentar el problema del analisis de de deteccion de malware desarrollado, para, a continuacion
malware [5]. En primer lugar estan las tecnicas basadas en el presentar en la seccion III la arquitectura general y los
analisis estatico de determinadas caractersticas de la propia componentes que conforman nuestra propuesta. Por ultimo,
aplicacion bajo estudio, bien en forma de codigo ejecutable o en la seccion IV detallamos los experimentos de validacion y
de su codigo fuente original. En el otro gran grupo estan las evaluacion de la herramienta y las lneas de trabajo futuras.
tecnicas de analisis dinamico, o basado en el comportamiento,
que extraen informacion mediante la monitorizacion de la II. F UNDAMENTOS DE S ISTEMA DE A N ALISIS
aplicacion y su contexto, durante su ejecucion en un entorno D ESARROLLADO
controlado. Por otra parte, en cuanto a la deteccion de malware Los fundamentos de nuestro prototipo de analizador de
propiamente dicha, tambien hay dos grandes familias de malware se asientan sobre dos campos de investigacion bien
metodos. Los metodos basados en firmas emplean una base de conocidos y estudiados: el Razonamiento Basado en Casos y
datos con muestras especficas de malware conocido a modo los sistemas de Recuperacion de Informacion.
de firmas identificativa. Los metodos heursticos o basados
en anomalas, emplean un modelo, normalmente construido
mediante tecnicas estadstica y/o de aprendizaje automatico, II-A. Razonamiento basado en casos
capaz de definir y diferenciar el comportamiento benigno y El Razonamiento Basado en Casos (Case Based Reasoning,
aislarlo del malicioso. CBR) es un paradigma para la construccion de sistemas
La propuesta de marco de analisis y deteccion de malware inteligentes basados en el conocimiento. Emplea la analoga
en la que estamos trabajando puede englobarse en este segundo como principio basico para dar soporte al razonamiento y al
tipo, aunque presenta ciertas caractersticas que la aproximan aprendizaje o incorporacion de nuevo conocimiento. De un
a los metodos basados en firmas. Nuestro sistema emplea un modo general, los sistemas CBR manejan el concepto de Caso,
esquema de razonamiento y aprendizaje basado en la analoga, una representacion del problema que se pretende resolver, que
denominado Razonamiento Basado en Casos [6]. Sobre esta incluye una representacion de la solucion correcta a dicho
base conformamos un marco donde se pueden integrar de problema. Normalmente se trata de la solucion propuesta por
forma conveniente diversas tecnicas de analisis, tanto estaticas el sistema, junto con una indicacion de si esta se considero
como dinamicas, que usa este esquema de razonamiento por exitosa o no por parte de un supervisor externo. El nucleo
105
de los sistemas CBR es la Base de Casos, una coleccion de como un vector numerico. Los valores de este vector se
Casos etiquetados, normalmente estructurada e indexada, que corresponden con el peso 1 o importancia que para dicho
aglutina todo el conocimiento que el sistema posee sobre un documento tiene cada uno de los terminos de indexacion que
dominio de aplicacion concreto. lo componen. En el caso de documentos textuales los terminos
Sobre esa Base de Casos, la operacion de los sistemas CBR de indexacion son los tokens o palabras que lo constituyen. En
para procesar un nuevo Caso a Resolver se organiza en cuatro nuestro caso estos terminos seran las caractersticas extradas
etapas: por los analizadores aplicados sobre la aplicacion Android
Recuperar. Donde se consulta la Base de Casos para vinculada a cada Caso.
obtener la lista de Casos Similares mas parecidos al Caso En tiempo de consulta, a cada termino de indexacion
que se presente resolver, de acuerdo a una metrica de presente en la consulta original se le asigna un peso y se
similaridad entre casos especfica de cada dominio. recuperan los documentos cuyos vectores sean mas similares
Reutilizar. Donde se explota la informacion presente en al vector consulta. En nuestro sistema las consultas sobre el
los Casos Similares (previamente resueltos) para propo- ndice Lucene se emplean durante la fase Recuperar para
ner una solucion para el Caso a Resolver. Habitualmente identificar los Casos mas proximos a uno dado. Para construir
esta solucion combinara la experiencia codificada en las la consulta a lanzar sobre Lucene se utilizan como terminos
soluciones dadas a los Casos Similares. En los esquemas de busqueda el conjunto de caractersticas descriptivas de
mas simples se trata de una simple votacion, de modo dicho Caso, unidos por un operador OR global. En esencia,
similar al funcionamiento de los metodos de aprendizaje lo que hacemos es utilizar el ndice Lucene para realizar
basados en proximidad (k nearest neighbours), pero es una busqueda por contenido que devolvera un ranking de los
posible emplear modelos mas complejos y potentes. documentos/casos mas parecidos al usado como muestra. A
Revisar. Se evalua la bondad de la solucion propuesta la hora de consultar el ndice para recuperar la lista de Casos
para el Caso a Resolver, normalmente con la intervencion Similares, los distintos tipos de caractersticas extradas del
de informacion experta externa, bien un usuario real u Caso actual por los respectivos analizadores, se ponderan de
otro tipo de supervision precodificada. Tambien se anota forma distinta, atendiendo al grado de credibilidad vinculado
si la solucion propuesta fue adecuada o no, corrigiendola al analizador que las genero. De nuevo, este parametro es
si es necesario. dinamico y se ajusta en cada iteracion en funcion de los pesos
Retener. Una vez completado el ciclo de un Caso a que ese analizador tuviera asignados en el conjunto de Casos
Resolver, se decide si es relevante incorporarlo a la Base Similares recuperados en la iteracion anterior. Dichos casos
de Casos para que la experiencia encapsulada en este caso fueron los responsables de la decision de incorporar ese tipo de
concreto pueda tomar parte en la resolucion de futuros analisis en la representacion del Caso utilizada en la iteracion
Casos similares. actual.
En nuestra propuesta, empleamos un ciclo CBR ligeramente
distinto. Las muestras de aplicaciones Android analizadas III. A RQUITECTURA DEL A NALIZADOR DE M ALWARE
pasan a traves de este ciclo de forma iterativa. En cada pasada Haciendo uso del esquema esbozado en la seccion anterior,
se decide que nueva informacion es conveniente incorporar al la arquitectura de nuestro prototipo de analizador de malware
Caso que representa a la aplicacion Android analizada, con para Android se estructura en tres grandes componentes:
la finalidad de mejorar su posterior categorizacion. De hecho, Motor de analisis basado en CBR. Es el elemento
desde el punto de vista de las tecnicas de aprendizaje au- responsable de coordinar el ciclo CBR iterativo que
tomatico, este comportamiento puede verse como una especie gobierna el proceso de analisis de las aplicaciones An-
de seleccion de caractersticas (feature selection) previa a la droid. Consulta el repositorio de muestras analizadas para
clasificacion final de la aplicacion analizada. extraer los Casos Similares y, en funcion de ellos, decidir
si detener el ciclo CBR actual y proponer una categori-
II-B. Recuperacion de informacion zacion o seleccionar un nuevo analizador a aplicar sobre
la muestra considerada con la finalidad de enriquecer
En nuestro sistema hacemos uso de tecnicas y herramientas
su descripcion. En caso de decidir aplicar un nuevo
tomadas del campo de la Recuperacion de Informacion (RI),
analizador, las caractersticas obtenidas se utilizan en la
en concreto el Modelo Vectorial [7] de RI, para manejar de
siguiente iteracion del ciclo CBR.
forma eficiente la Base de Casos de nuestro sistema CBR. En
Repositorio de muestras analizadas. Se corresponde
concreto, utilizamos un motor de indexacion de codigo abierto,
con la Base de Casos y consiste esencialmente en un
Apache Lucene [2], para dar soporte a la fase de Recuperacion
ndice Lucene que almacena las representaciones de las
del ciclo CBR. Con ello pretendemos que sea posible trabajar
aplicaciones analizadas. Tambien incluye al conjunto de
con grandes colecciones de muestras de aplicaciones Android,
archivos binarios originales y a los metadatos vinculados
previamente analizadas segun el ciclo CBR iterativo descrito,
anotadas y, finalmente, indexadas. 1 En RI existen diferentes esquemas de asignacion de pesos, siendo unos de
En el Modelo Vectorial de RI, cada documento, que en los mas utilizados los esquemas TF - IDF y BM 25. En ambos se combinan dos
nuestro sistema se corresponden con un Caso, que a su vez aspectos: la importancia del termino en el documento concreto (cuantificado
a partir de su frecuencia de aparicion en ese documento) y una media de
almacenan el conjunto de representaciones extradas de una la exclusividad o especificidad de dicho termino, que tiene en cuenta el
muestra de una aplicacion Android bajo estudio, se representa numero de documentos en los este aparece.
106
a cada aplicacion Android, almacenados en documentos para Android desarrollado. El trabajo realizado hasta el mo-
JSON. mento ha sido fundamentalmente de desarrollo y validacion
En el ndice Lucene cada documento se corresponde de la herramienta, no habiendose realizado aun pruebas de
con una aplicacion Android y posee tantos campos 2 rendimiento exhaustivas sobre colecciones de aplicaciones
como analizadores hayan sido empleados para generar Android de referencia. Tampoco se ha realizado un ajuste
su representacion actual. de parametros (numero maximo de casos similares a consi-
Coleccion de analizadores. Se trata de un conjunto de derar, esquema de ponderacion a utilizar en Lucene [tf-idf vs.
analizadores que reciben una muestra de una aplicacion BM25], analizadores semilla con los que inicializar el ciclo
Android y generan, o bien una representacion susceptible CBR, etc), ni su comparacion con otras propuestas en el campo
de ser incorporada en el ndice Lucene (es decir, un del analisis de malware en Android.
conjunto de terminos de indexacion) y que sera utilizada En el proceso de validacion ha hecho uso de la coleccion
en las consultas de similaridad (analizadores extractores de muestras de malware Android recopiladas por el equipo del
de caractersticas), o bien una indicacion del grado de Android Malware Genome Project) [8], junto con un conjunto
peligrosidad de la muestra analizada (analizadores eva- de alrededor de 180 muestras de aplicaciones legtimas recopi-
luadores), o bien ambas cosas (analizadores mixtos). ladas por los autores. Las pruebas se han centrado en compro-
En la version actual del prototipo casi todos los anali- bar el efecto de los distintos analizadores en la categorizacion
zadores son de tipo estatico, aunque la plataforma esta de las muestras, pero no son suficientemente exhaustivas, ni
abierta a incorporar herramientas de analisis dinamico.
La mayor parte de estos analizadores hacen uso de la li- comparables con los resultados de otros sistemas, dado que el
brera de ingeniera inversa para Android Androguard [1]. conjunto de datos no es totalmente estandar.
n-gramas de codigos de operacion. Extrae la lista de El trabajo futuro inmediato es realizar el estudio y ajuste
bigramas y trigramas a partir de las secuencias de codigos de los parametros del sistema y evaluar su rendimiento en
de operacion extradas de los bytecodes de la muestra comparacion con los sistemas que conforman el estado del
analizada. Dado que estos n-gramas seran posteriormente arte actual en la investigacion sobre deteccion de malware en
indexados, el esquema resultante es hasta cierto punto
similar al descrito en [4], aunque de un modo mucho mas Android. A medio plazo, se pretende incorporar analizadores
simple y limitado. que empleen aproximaciones dinamicas, con la intencion de
permisos solicitados. Es un analizador mixto que extrae emplearlos en los casos donde los analisis estaticos actuales
la lista de permisos solicitados en el manifiesto de la no sean capaces de concluir una categorizacion definitiva con
aplicacion Android. Adicionalmente, tambien valora la suficiente credibilidad.
peligrosidad de los mismos en base a una tabla de riesgo
estatica.
permisos utilizados. Es otro analizador mixto similar R EFERENCIAS
al anterior, que se alimenta de los permisos vinculados a [1] Androguard, Reverse engineering, Malware and goodware analysis of
las llamadas al API de Android que se realizan desde el Android applications, en lnea, https://github.com/androguard/androguard,
codigo de la aplicacion. (ultimo acceso 9/7/2015)
cadenas de texto. Extrae las cadenas de texto (mensajes, [2] Apache Lucene, en lnea, https://lucene.apache.org/, (ultimo acceso
errores, etc) presentes en el codigo de la muestra. 9/7/2015)
llamadas al API. Extrae los nombres de las clases y [3] Virus Total, en lnea, https://www.virustotal.com/, (ultimo acceso
metodos del API de Android invocados desde la aplicacion 9/7/2015)
analizada. [4] I. Santos, X. Ugarte-Pedrero, F. Brezo, P. G. Bringas, NOA: An in-
nombres de clases. Extrae los nombres completos de las formation retrieval based malware detection system, Computing and
Informatics, vol. 32, pp. 1001-1030, 2013
clases que conforman la aplicacion analizada. [5] M. Egele, T. Scholte, E. Kirda, and C. Kruegel, A survey on automated
Adicionalmente, se incluye a modo de muestra un anali- dynamic malware-analysis techniques and tools, ACM Computing Sur-
veys, vol. 44, no. 2, pp. 6:16:42, 2012.
zador mixto que hace uso de la API publica del servicio [6] A. Aamodt, E. Plaza. Case-Based Reasoning: Foundational Issues, Met-
VirtusTotal [3]. Este analizador cuantifica el nivel de hodological Variations, and System Approaches, Artificial Intelligence
peligrosidad de la muestra a partir de los resultados Communications vol. 7, no. 1, 39-52, 1994.
[7] G. Salton , A. Wong , C. S. Yang,A vector space model for automatic
devueltos por esta API y caracteriza la muestra de cara indexing, Communications of the ACM, v.18 n.11, pp. 613-620, 1975
a su indexacion tomando nota los antivirus que declaran [8] Y. Zhou, X. Jiang, Dissecting Android Malware: Characterization and
a la muestra como malware y el tipo de malware que Evolution, Proc. of the 33rd IEEE Symposium on Security and Privacy.
San Francisco, CA, 2012
le vinculan. Idealmente, este analizador sera el ultimo
recurso en caso de que el ciclo CBR iterativo no llegara a
alcanzar un decision concluyente, dado que la invocacion
remota de la API de VirusTotal lo hace muy costoso.
IV. VALIDACI ON DE LA H ERRAMIENTA Y T RABAJO

F UTURO
En este resumen hemos esbozado los fundamentos teoricos
y la arquitectura general del sistema de analisis de malware
2 En Lucene los campos (Fields) son un mecanismo para estructurar un
documento en porciones consultables de manera independiente.
107
JNIC2015 Septima sesion: Privacidad, Criptografa y autentificacion
1
Informing Protocol Design Through

Crowdsourcing: the Case of Pervasive Encryption
Anna Maria Mandalari Marcelo Bagnulo Andra Lutu
University Carlos III of Madrid University Carlos III of Madrid Simula Research Laboratory
Abstract Middleboxes play an important role in the ing solution approach. We exemplify next the efficiency of
modern Internet ecosystem. They perform advanced func- our methodology in the case of evaluating the feasibility
tions, but they can turn net into a hostile ecosystem for
innovation. It is therefore essential, when designing a new of pervasive encryption in the modern Internet ecosystem.
protocol, to first understand its interaction with the ele- In other words, we need to establish at this point
ments of the path. We show how to make informed proto- whether using encryption in traditionally unsecured ports
col design choices by using a crowdsourcing platform. We
consider a specific use case, namely the case of pervasive
is even possible in todays Internet. In this paper, we at-
encryption in the modern Internet. We perform large- tempt to initiate TLS connections in 68 different ports
scale TLS measurements to advance our understanding on that normally do not use any form of encryption and ana-
whether wide adoption of encryption is possible in todays lyze the success of the connection. This is a first necessary
Internet.
step towards a full comprehension of the behavior of mid-
dleboxes relative to pervasive encryption.
I. Introduction
The indisputable success of the Internet and, conse- II. Methodology
quently, the increasing demand from end-users for more In this section, we describe the measurements method-
secure and faster access to the online services drives the ology we employ to assess the potential success of deploy-
need for continuous innovation. Modern networks of- ing secure protocols in the Internet using crowdsourcing.
ten rely on dedicated hardware components generically We try to establish TLS connections from a large num-
dubbed middleboxes to perform advanced processing func- ber of vantage points (from now on, measurement agents
tions like, for example, enhancing application perfor- (MAs)) to a large number of ports, which traditionally do
mance, traffic shaping, optimizing the usage of IPv4 ad- not use TLS in a target server (from now on, measurement
dress space or security. server (MS)), using crowdsourcing based measurements.
One major criticism of middleboxes is that they might Crowdsourcing platforms connect employers and workers
filter traffic that does not conform to expected behaviors, from around the world. The employer is the one who cre-
thus ossifying the Internet and rendering it as a hostile ates the task (or the micro-job) for workers and specifies
environment for innovation [3]. the parameters of its campaign, e.g., the size of the set of
This does not mean that it is impossible to deploy new users performing the task or their geographical location
protocols, but that in order to ensure success it is imper- at country level.
ative to first understand the interaction of the proposed We argue that this approach can become an important
solutions with the middleboxes active along the path. Re- tool for evaluating innovation solutions, primarily due to
cent studies [5],[4] on middleboxes behavior attempt to the large number of accessible and diverse measurement
provide such information. However, the existing measure- vantage points. Additionally, we can benefit from the free-
ments use only a very small number of vantage points, dom of deploying our own custom-designed measurement
e.g., in [5] only 142 measurement points are used. tests.
Until recently, large-scale Internet measurement infras- We recruit users through the Microworkers crowdsourc-
tructures necessary to perform this type of analysis were ing platform to complete measurements on the feasibility
available only to large Internet players, such as Google, of pervasive encryption in the current Internet ecosystem.
Akamai and large ISPs. Consequently, the lack of public To capture how effective would pervasive encryption ac-
access to such resources makes it hard to repeat or verify tually be if deployed in todays Internet, we collect and
their results. analyze the results from more than 2,000 MAs that try
The emerging sea of crowdsourcing (such as the Amazon to establish TLS connections in a large number of ports
Mechanical Turk, Microworkers and others) can provide which normally do not use TLS.
an accessible alternative to perform large scale Internet The MAs attempt to establish both HTTP and TLS
measurements. By expanding the traditional crowdsourc- connections to 68 different ports, namely 10 well-known
ing focus from the human element to use a diverse and ports, 56 registered ports and 2 ephemeral ports. We use
numerous group of end-user devices as measurement van- the success rate of the HTTP connections as the bench-
tage points [2] we can leverage on crowdsourcing platforms mark against which we compare the number of TLS suc-
to run Internet wide measurements. cessful connections. We establish then the success rate of
In this paper, we show how to make informed protocol the TLS connection by contrasting the result against the
design choices by using a novel methodology for perform- status of an unencrypted HTTP connection established in
ing large scale Internet measurements, using a crowdsourc- the same port. We also store and analyze in detail the
108
2
All, Port 80 ). Moreover, in the case of mobile network we

TABLE 1: Results particularize the analysis for proxy/non-proxy case (labels
table Proxy, Non-proxy, Proxy (80), Non-proxy (80)).
Analysis Port 80 (%) Average other ports (%)
Aggregated 16,5 5,8 We observe that in the case of proxies, 90% of the SYN
Fixed 9 6,95
Mobile 25 4,54 packets are missing. While this may seem non causal at
Proxy
Non-proxy
70
10
4,23
6,8 first (as the SYN packet is forwarded before the middle
box actually knows whether this is a regular HTTP con-
nection or a TLS connection), proxies usually wait until
TABLE 2: Packets analysis they receive the GET from the client to establish the con-
table nection to the server in order to apply their policies. This
Fixed Line Mobile
Analysis
All
SYN(%) NO SYN(%)
96,8 3,2
SYN(%) NO SYN(%)
36 64
explains why in the case of TLS, we miss a high number
Port 80 88,3 11,7 27,7 72,3 of SYN packets.
Proxy 22,2 77,8
Non-proxy 12,7 87,3 We also try to understand if the filtering of TLS is con-
Proxy (80) 9,6 90,4
Non-proxy (80) 36,4 63,6 sistent across the different ports for a given MA. In other
words, if the TLS connection fails in a given port, how
likely is that it will fail in other ports. In order to quan-
server side packet exchanges. tify this, we estimate the conditional probability of failure
The procedure is as follows. First, we start by asking in a given port X given that the TLS connection in port
the user to connect using a HTTP connection in port 80 80 has failed. We choose the port 80 as it is in general
to a webpage we provide. Meanwhile, in the background, a port with high failure rate. We estimate the aforemen-
HTTP and HTTPS connections are performed from the tioned conditional probability for the case of fixed line and
measurement devices to our servers in all the other 67 for the case of mobile network without proxies. We can
ports. In this case, data about the performance are col- see that the estimated conditional probability is around
lected in the MS. 90% in both cases (slightly higher in the fixed line case),
Second, the webpage we provide contains a short form implying that when the TLS connection fails in port 80,
asking for additional input about the type of Internet ac- it is very likely that it will fail in the other ports.
cess they are using. Finally, on the server side, we also
collect and store metadata on each of the MAs that con- IV. Conclusion
nect to our servers, such as the IP address, the user agent In this paper we describe an experimental model for us-
type, the language, and any other information included in ing crowdsourcing platforms to perform large-scale Inter-
the HTTP header. net measurements. Our research efforts expand the tradi-
III. Results tional crowdsourcing focus from the human element to use
a diverse and numerous group of end-user devices as mea-
In the campaigns for fixed lines, we recruit 1,165 work- surement vantage points. We demonstrate the described
ers from 53 different countries. The MAs are hosted in approach while assessing the feasibility of deploying en-
286 ASes overall. cryption by default in the Internet. We focus our crowd-
For the mobile case study, we recruit 956 workers, from sourcing campaigns on building a representative dataset to
45 different countries and 183 ASes. show the potential success of widespread adoption of TLS
Considering that each MA performs 68 connections to encryption for existing protocols in their native ports.
our MS, we build a complex dataset for a total of 114,228 We find that in average the failure rate of TLS over
connections 1 . different ports is near the 6%. We also find that in the case
Table 1 refers to the results obtained from aggregated of mobile networks where proxies are used, the failure rate
results, for both fixed line and mobile network (label Ag- can be as high as 70%. We conclude that it is probably
gregated ), the results from users that use a fixed line and feasible to roll out TLS protection for most ports except
from users connected to a cellular network (labels Fixed, for port 80, assuming a low failure rate (6%).
Mobile). We also compare the rate of successful TLS con- We believe that our results can serve as a lower bound
nections for users we detect using a proxy and for users for the failure rate for using protocols other than expected
that do not (labels Proxy, Non-proxy) in mobile network in different ports.
scenario. To better understand how proxies or other mid-
dleboxes behavior impacts the performance of the TLS References
protocol in unconventional ports, we focus on the packet [1] A. Bittau et al. The case for ubiquitous transport-level encryp-
analysis, splitting the analysis for fixed line, mobile and tion. In USENIX, 2010.
[2] A. Doan et al. Crowdsourcing systems on the world-wide web.
for users that use or not a proxy. ACM, 2011.
Table 2 refers to the percentage of SYN we receive when [3] M. Handley. Why the internet only just works. BT Technology
Journal, 2006.
users try to establish a TLS connection to our MS from [4] B. Hesmans et al. Are TCP extensions middlebox-proof? In
fixed line use case and from mobile network, considering Workshop on Hot topics in middleboxes and network function
all port and particularizing the analysis for port 80 (labels virtualization. ACM, 2013.
[5] M. Honda et al. Is it still possible to extend TCP? In ACM
1 The IMC, 2011.
data set is freely available on
http://it.uc3m.es/amandala/dataset.php
109
1
Cifrado de datos con preservacion del formato

V. Gayoso Martnez1 , L. Hernandez Encinas1 , A. Martn Munoz1
J. M. de Fuentes2 , L. Gonzalez Manzano2
1
Instituto de Tecnologas Fsicas y de la Informacion (ITEFI)
Consejo Superior de Investigaciones Cientficas (CSIC), Madrid
{victor.gayoso, luis, agustin}@iec.csic.es
2
Computer Security Lab (COSEC), Universidad Carlos III de Madrid, Leganes, Madrid
{jfuentes, lgmanzan}@inf.uc3m.es
ResumenEn esta contribucion se introducen las tecnicas to, su utilizacion no permite garantizar el cumplimiento
de cifrado con preservacion del formato, las cuales tienen de un requisito que, aunque parezca secundario, en de-
una importancia fundamental en el cifrado de bases de da-
tos en las que, por motivos de compatibilidad, no se desea terminados entornos es fundamental: la preservacion del
realizar modificaciones en el formato de los tipos de datos. formato de los datos.
De manera adicional, se presentan los detalles de implemen- En el mundo empresarial y de las administraciones
tacion de uno de los algoritmos mas conocidos sobre este
tema, aportando un ejemplo completo de cifrado y descifra- publicas existen circunstancias en las que, ademas de ser
do que permitira comprobar sus propias implementaciones necesario cifrar los datos, estos deben mantener el mismo
al lector interesado. formato que los datos originales. Ello se debe principal-
mente a la necesidad de asegurar la compatibilidad con
I. Introduccion las bases de datos y aplicaciones ya existentes, y que fue-
ron disenadas para gestionar ciertos tipos de datos con
El uso de las Tecnologas de la Informacion y de la Co- formatos predefinidos.
municacion (TIC) se ha generalizado en el da a da de em- Obviamente, sera posible modificar dichas bases de da-
presas y usuarios de internet. Esta situacion, aunque por tos y aplicaciones para que manejaran los datos cifrados
un lado facilita el intercambio de grandes volumenes de in- mediante, por ejemplo, el algoritmo AES, pero el coste
formacion, conlleva al mismo tiempo importantes riesgos economico y los plazos de modificacion para realizar tales
y amenazas [1]. cambios aconsejan la busqueda de soluciones alternativas.
Uno de los pilares basicos de cualquier estrategia de ci- Y precisamente la mejor alternativa en esas situacion lo
berseguridad lo constituyen las tecnicas de cifrado, que tie- constituye lo que en ingles se conoce como Format Pre-
nen como objetivo principal asegurar la confidencialidad serving Encryption (FPE), o cifrado con preservacion del
de la informacion, de manera que un atacante no pueda formato.
acceder a los datos originales. Utilizando las tecnicas de FPE es posible, por ejemplo,
Dentro de esas tecnicas, se encuentran las de clave cifrar numeros de tarjetas de credito de manera que el
simetrica, donde los dos extremos de la comunicacion utili- dato cifrado tambien sea un numero de tarjeta de credito,
zan la misma clave (mencionada habitualmente como clave o cifrar identificadores de DNIe de forma que el resultado
secreta), y las de clave asimetrica, que utilizan durante su sea un DNIe distinto. Esto permite almacenar los datos
ejecucion un par de claves (a las que se suele denominar cifrados en bases de datos sin modificar su formato de
clave publica y privada) [2]. En ambos casos, el resultado manera que, aunque su contenido sea hecho publico, los
de cifrar cualquier tipo de informacion es una secuencia datos verdaderos no sean conocidos.
binaria aparentemente aleatoria y cuya longitud depen- El presente trabajo tiene como primer objetivo realizar
dera del algoritmo utilizado. una introduccion a las tecnicas de cifrado con preserva-
Los algoritmos de clave simetrica tienen como venta- cion del formato, la cual esta recogida en la Seccion II.
ja sobre los de clave asimetrica su mejor rendimiento y La Seccion III describe los procesos de estandarizacion en
menor longitud de clave, debido principalmente a que las este campo, mientras que la Seccion IV proporciona los
operaciones matematicas empleadas en ese caso son mas detalles de implementacion de uno de los algoritmos pro-
sencillas que las equivalentes utilizadas en los algoritmos puestos para su estandarizacion. Por su parte, la Seccion
de clave asimetrica. En cuanto a los principales algoritmos V incluye un ejemplo completo de cifrado y descifrado
y funciones de clave simetrica, los mas conocidos son DES utilizando una implementacion Java del algoritmo ante-
y su sucesor AES [3]. riormente mencionado. Finalmente, la Seccion VI contiene
La especificacion de AES describe como cifrar bloques nuestras conclusiones junto con la identificacion de algu-
de 128 bits empleando claves de 128, 192 o 256 bits, obte- nos potenciales problemas cuya solucion, al igual que la
niendo como resultado un bloque cifrado de 128 bits [4]. implementacion del algoritmo en dispositivos con recursos
Aunque empleando AES con cualquiera de los modos de limitados, constituye un reto para los investigadores en el
operacion recomendados [5] es posible cifrar cualquier da- campo de la ciberseguridad.
110
2
II. Cifrado con preservacion del formato dada la siguiente secuencia (representada en la Fig. 1), el
resultado de cifrar el numero 2 sera el valor 9.
Los orgenes de las tecnicas FPE pueden situarse en
1981, cuando se publico la norma FIPS 74 [6] que con- c1 = EK (2) = 6 + 7 = 13 13 mod 17
tena un procedimiento basado en DES que permita que
el alfabeto de los mensajes en claro y los mensajes ci- c2 = EK (13) = 39 + 7 = 46 12 mod 17
frados fuera el mismo. Posteriormente, en 1997, Smith y c3 = EK (12) = 36 + 7 = 43 9 mod 17
Brightwell [7] ahondaron en la misma idea, refiriendose a
este concepto como datatype-preserving encryption debi-
do a su utilizacion para preservar los tipos en las bases de
datos.
A pesar de la novedad que representaron esos documen-
tos, en los dos casos mencionados el tratamiento no era
lo suficientemente profundo, por lo que suele considerar-
se que la primera contribucion consistente en este campo
fue la de Black y Rogaway [8], quienes se centraron en
como cifrar un entero del rango {0, N 1} de manera que
Fig. 1: Ejemplo de cifrados sucesivos
el mensaje cifrado representara otro numero del mismo
(fuente: www.di-mgt.com.au).
rango.
Para resolver este problema, Black y Rogaway propu-
sieron tres soluciones. El primer metodo, descrito por los El tercer metodo, denominado generalized-Feistel cip-
autores como prefix cipher, consista en realizar una per- her por los autores, permita una mayor flexibilidad en
mutacion de los numeros enteros del rango entre 0 y N 1. el proceso de cifrado mediante el empleo de un esquema
Para ello, sugeran utilizar una funcion de cifrado simetri- Feistel. En este metodo, el numero a cifrar (presumible-
co con una clave secreta aleatoria, de manera que se pro- mente de muchas cifras) se descompona en dos numeros
cesaran todos los numeros del rango y se ordenaran los de aproximadamente el mismo tamano, procediendose a
resultados (es decir, los mensajes cifrados) por orden al- continuacion a realizar varias rondas hasta obtener un va-
fabetico. lor final. En cada ronda (ver Fig. 2) se utilizara una clave
Por ejemplo, dados los numeros del 0 al 9, empleando Ki derivada de un elemento que podra ser hecho publico,
por sencillez en la explicacion la funcion resumen SHA- 1 y que habitualmente se denomina tweek. En caso de que
en lugar de una funcion de cifrado simetrico con una clave el elemento cifrado estuviera fuera del rango permitido,
aleatoria, la ordenacion alfabetica de los resumenes gene- se podra utilizar este metodo junto con el anteriormente
rara la secuencia 9, 4, 1, 3, 7, 5, 0, 6, 2 y 8, tal como expuesto.
puede comprobarse con los resumenes mostrados a conti-
nuacion, donde el prefijo 0x indica que la cadena situada
a continuacion esta representada en formato hexadecimal.
0:0xB6589FC6AB0DC82CF12099D1C2D40AB994E8410C
1:0x356A192B7913B04C54574D18C28D46E6395428AB
2:0xDA4B9237BACCCDF19C0760CAB7AEC4A8359010B0
3:0x77DE68DAECD823BABBB58EDB1C8E14D7106E83BB
4:0x1B6453892473A467D07372D45EB05ABC2031647A
5:0xAC3478D69A3C81FA62E60F5C3696165A4E5E6AC4
6:0xC1DFD96EEA8CC2B62785275BCA38AC261256E278 Fig. 2: Esquema de una ronda Feistel
7:0x902BA3CDA1883801594B6E1B452790CC53948FDA (fuente: Wikimedia Commons).
8:0xFE5DBBCEA5CE7E2988B8C69BCFDFDE8904AABC1F
9:0x0ADE7C2CF97F75D009975F4D720D1FA6C19F4897 Aunque las tres propuestas estaban bien argumentadas,
y su seguridad fue objeto de estudio en [8], no estaban
Con ello, al realizar una operacion de cifrado el numero exentas de limitaciones.
0 se transformara en el 6, el 1 en el 2, y as sucesivamente. Debido a la necesidad de generar (y almacenar de forma
El segundo metodo, denominado por los autores cycle- segura) la ordenacion de los elementos, el primer metodo
walking cipher, consista en utilizar una funcion de cifrado solo estaba indicado para rangos de valores pequenos. Por
simetrico cuyo dominio fuera mayor que el conjunto de ele- su parte, el segundo metodo presenta como inconvenien-
mentos a cifrar, realizando tantas operaciones de cifrado te el hecho de que, si la diferencia entre el dominio de
como fuera necesario hasta obtener un mensaje cifrado la funcion de cifrado y el cardinal del conjunto a cifrar es
que perteneciera al conjunto de numeros validos. grande, cada proceso de cifrado necesitara un valor poten-
Por ejemplo, dados de nuevo los numeros del 0 al 9, si cialmente elevado de operaciones de cifrado simetrico, por
tuvieramos una funcion de cifrado del tipo (ax + b) mod n lo que su uso estaba recomendado para valores cuya lon-
y seleccionaramos los valores a = 3, b = 7 y n = 17, gitud en bits no difiriera mucho del tamano de bloque de
111
3
un algoritmo de cifrado simetrico. Por otra parte, la segu- IV. Implementacion

ridad el metodo basado en la estructura Feistel dependa
Puesto que el estandar X9.119 no permite su libre
del numero de rondas, y no era un metodo indicado pa-
distribucion, y no hay informacion publica de la norma
ra cadenas de datos de poca longitud (como por ejemplo
X9.124, el borrador del documento SP 800-38G es el uni-
las cadenas que representan el numero de una tarjeta de
co estandar relacionado con las tecnicas FPE libremente
credito).
disponible para la comunidad academica.
La Tabla 1 muestra un resumen de las longitudes en
bits y en dgitos recomendables para cada una de las tres Con el objetivo de realizar una implementacion software
propuestas. Los datos de dicha tabla fueron calculados de alguna de las tres propuestas incluidas en ese documen-
por Rerence Spies [9], quien ademas fue el investigador to, VAES3 fue descartado debido al analisis recogido en
que utilizo por primera vez la expresion format-preserving [16]. De las dos restantes, la propuesta elegida para su im-
encryption [10]. plementacion fue FFX[Radix] debido a que, a diferencia de
BPS, dispone de vectores de prueba con los que contrastar
que la implementacion realizada es correcta [18].
Metodo Tamano en bits Numero de dgitos
Tal como se describe en [12], dada una cadena de carac-
Metodo 1 120 16
teres X de longitud n, representada en la base radix, una
Metodo 2 5063 1619
cadena de bytes T , de longitud t (el componente tweak ) y
Metodo 3 40240 1280
una clave de cifrado K a utilizar con el algoritmo AES, el
Tabla 1: Comparativa de longitudes recomendadas. proceso de cifrado consiste en los siguientes pasos:
1. Calcular los valores u = n/2 y v = n u.

III. Estandarizacion 2. Obtener los elementos A = X[1 . . . u] y B = X[u +
1 . . . n] (es decir, A representa los primeros u caracteres
Debido al interes y aplicabilidad de las tecnicas de ci- de la cadena X, y B el resto).
frado con preservacion del formato, el National Institute 3. Calcular los valores b = v log2 (radix )/8 y d =
of Standards and Technology (NIST) inicio el trabajo de 4b/4 + 4.
estandarizacion de estas tecnicas aprobando como esque- 4. Generar el elemento P = [1]1 ||[2]1 ||[1]1 ||[radix ]3 ||[10]1 ||
ma general el conocido como FFX, propuesto por Bellare, [u mod 256]1 ||[n]4 ||[t]4 , donde la expresion [x]y se utiliza
Rogaway y Spies en 2010 [11]. para representar una cadena de y bytes todos ellos con el
Posteriormente, el 9 de junio de 2011 procedio a soli- valor numerico x, y el smbolo || indica la operacion de
citar propuestas concretas de algoritmos de FPE que se concatenacion.
ajustaran a dicho modelo. De entre las recibidas, el NIST 5. Comenzando con i = 0, repetir los siguientes pasos
incluyo tres en el primer borrador de su documento SP mientras i < 10, incrementando en cada iteracion el valor
800-38G [12], publicado en 2013. En concreto, las tres pro- de i en una unidad:
puestas incluidas en dicho borrador fueron: a) Generar el elemento Q = T ||[0]tb1 mod 16 ||[i]1 ||
FFX[Radix] (denominado FF1 internamente en el do- [numradix (B)]b , donde numradix (x) es una funcion que sir-
cumento), desarrollado por Bellare, Rogaway y Spies [13]. ve para calcular el valor numerico asociado a la represen-
VAES3 (FF2 en el documento), propuesto por Joachim tacion x en la base radix.
Vance [14]. b) Obtener el elemento R = PRF(P ||Q), donde PRF(x)
BPS (FF3 en el documento), presentado por Eric Brier, es una funcion que genera una salida de 128 bits a partir
Thomas Peyrin y Jacques Stern [15]. de una entrada cuya longitud sea multiplo de 128, para lo
Tras la publicacion del borrador, el NIST anuncio la cual utiliza varias iteraciones de la funcion de cifrado AES
apertura de un perodo de comentarios, el cual finalizo el (para mas detalles, consultar [12]).
3 de septiembre de 2013. De los comentarios recibidos, el c) Identificar el elemento S como los primeros d bytes
mas importante fue un analisis de VAES3 [16] que afirma de la cadena R||AESK (R [1]16 )||AESK (R [2]16 )|| . . . ||
haber descubierto un ataque de texto plano escogido que AESK (R[d/161]16), la cual esta formada por d/16
demostrara que la seguridad de esa propuesta es menor bloques, y donde el simbolo representa la operacion
de los 128 bits requeridos por el NIST. En el momento de XOR.
escribir esta contribucion, todava no se ha publicado la d ) Calcular el valor y = num2 (S), es decir, el valor
version definitiva del documento, desconociendose cuando numerico de la representacion binaria de S.
se realizara dicha publicacion. e) Realizar la asignacion m = u si el valor de i es par,
En paralelo a las actividades del NIST, el American Na- en caso contrario hacer m = v.
tional Standards Institute (ANSI) inicio un trabajo equi- f ) Calcular el valor c = (numradix (A) + y) mod radix m .
valente con la idea de generar dos estandares relaciona- g) Generar el elemento C = STRm radix (c), donde la fun-
dos con el FPE: X9.119 [17], publicado en 2013, y que cion STRm rad (x) permite obtener la representacion del valor
define los requisitos de seguridad mnimos para proteger numerico x como una cadena de m caracteres empleando
datos sensibles de tarjetas en las transacciones comercia- la base radix.
les, y X9.124, centrado en las tecnicas FPE, y que todava h) Realizar las asignaciones A = B y B = C en el orden
esta en desarrollo, sin que exista informacion disponible indicado.
para el publico interesado. 6. Devolver A||B.
112
4
En cuanto al proceso de descifrado, que basicamente Los datos iniciales, calculados antes de ejecutar las 10
consiste en repetir los mismos pasos pero en orden in- rondas, son A = 12345678, B = 90123456, n = 16, u = 8,
verso, dada una cadena de caracteres X de longitud n v = 8, b = 4, d = 8, P = 0x01020100000A0A0800000010
representada en la base radix, una cadena de bytes T de 0000000A y T = 0x39383736353433323130. A continua-
longitud t y una clave de cifrado K, esta compuesto por cion, las Tablas 2 a la 11 muestran los datos intermedios
los siguientes pasos: obtenidos en cada ronda, donde el elemento m toma siem-
pre el valor 8.
1. Calcular los valores u = n/2 y v = n u.
2. Obtener los elementos A = X[1 . . . u] y B = X[u + Q 0x393837363534333231300000055F2CC0
1 . . . n]. R 0xA63A9DBAAAB229E8CC093726AF2CFAB8
3. Calcular los valores b = v log2 (radix )/8 y d = S 0xA63A9DBAAAB229E8
4b/4 + 4. y 11978059583998536168
4. Generar el elemento P = [1]1 ||[2]1 ||[1]1 ||[radix ]3 ||[10]1 ||
c 10881846
[u mod 256]1 ||[n]4 ||[t]4 .
A 90123456
5. Comenzando con i = 9, repetir los siguientes pasos
B 10881846
mientras i > 0, decrementando en cada iteracion el valor
de i en una unidad: Tabla 2: Ronda 0 del proceso de cifrado.
a) Generar el elemento Q = T ||[0]tb1 mod 16 ||[i]1 ||
[numradix (A)]b .
b) Obtener el elemento R = PRF(P ||Q). Q 0x39383736353433323130000100A60B36
c) Identificar el elemento S como los primeros d bytes R 0xB145E2726676AC58DF76B53984E55C29
de la cadena R||AESK (R [1]16 )||AESK (R [2]16 )|| . . . || S 0xB145E2726676AC58
AESK (R [d/16 1]16 ). y 12773864899079482456
d ) Calcular el valor y = num2 (S). c 69605912
e) Realizar la asignacion m = u si el valor de i es par, A 10881846
en caso contrario hacer m = v. B 69605912
f ) Calcular el valor c = (numradix (B) + y) mod radix m .
g) Generar el elemento C = STRm Tabla 3: Ronda 1 del proceso de cifrado.
radix (c).
h) Realizar las asignaciones B = A y A = C, en ese
orden.
6. Devolver A||B. Q 0x39383736353433323130000204261A18
R 0x44A46670E32AB291F7BBBF5CAB2C2864
Es importante senalar que, tal como esta descrita la S 0x44A46670E32AB291
operativa de descifrado en [12], esta contiene varios errores y 4946190925793243793
de transcripcion (mas concretamente, en los pasos 5-(a), c 4125639
5-(f) y 5-(h)). A 69605912
La implementacion del algoritmo FFX[Radix] se ha B 04125639
realizado utilizando el lenguaje de programacion Java
Tabla 4: Ronda 2 del proceso de cifrado.
Standard Edition 8. Para ello, se ha empleado la clase
BigInteger [19], que permite operar con numero enteros
de cualquier longitud, superando de esta manera las limi-
Q 0x393837363534333231300003003EF3C7
taciones de los tipos primitivos int y long [20].
R 0xF2987448C3DE1143C7391C098CA2408E
V. Ejemplo S 0xF2987448C3DE1143
y 17480849809511158083
Con el fin de demostrar la aplicabilidad de esta tecnica c 80763995
al campo del comercio electronico, y puesto que ninguno A 04125639
de los cinco vectores de test incluidos en [18] se refiere B 80763995
al cifrado de una cadena de 16 dgitos, que es el caso de
los numeros de las tarjetas de credito, en los siguientes Tabla 5: Ronda 3 del proceso de cifrado.
apartados se muestra un ejemplo de cifrado y descifrado
obtenido mediante nuestra implementacion Java.
Q 0x39383736353433323130000404D05C5B
A. Cifrado R 0xE68B9CF4E1D79BE885B6C4C2C1321FDE
S 0xE68B9CF4E1D79BE8
A continuacion se incluyen los datos del ejem- y 16612544226061163496
plo de cifrado para la cadena 1234567890123456 c 65289135
(con representacion decimal), para lo cual se ha A 80763995
empleado la cadena tweak 9876543210 y la clave B 65289135
0x2B7E151628AED2A6ABF7158809CF4F3C a utilizar por el
algoritmo AES. Tabla 6: Ronda 4 del proceso de cifrado.
113
5
Q 0x39383736353433323130000503E43BAF ABF7158809CF4F3C para la funcion AES que en el ejemplo

R 0xF6ED3ADC4E6892E097175E3AABEF3B38 anterior. La inclusion de los datos asociados al proceso de
S 0xF6ED3ADC4E6892E0 descifrado sera util para los potenciales implementadores
y 17792942420693390048 de este algoritmo, puesto que los vectores de prueba de [18]
c 74154043 no contienen los valores intermedios de ningun ejemplo de
A 65289135 descifrado.
B 74154043 Los datos iniciales, calculados antes de ejecutar las 10
rondas, son A = 49561199, B = 13561817, n = 16, u = 8,
Tabla 7: Ronda 5 del proceso de cifrado.
v = 8, b = 4, d = 8, P = 0x01020100000A0A0800000
0100000000A y T = 0x39383736353433323130. Puesto
Q 0x393837363534333231300006046B803B que en cada ronda de descifrado los elementos Q, R, S,
R 0xA94C81462E19F661CDDB6D22EC50940B y y m coinciden con los de la correspondiente ronda de
S 0xA94C81462E19F661 cifrado, la Tabla 12 muestra unicamente los elementos c,
y 12199267629060978273 A y B obtenidos en cada ronda (donde el lector debe re-
c 26267408 cordar que, en el proceso de descifrado, la primera ronda
A 74154043 ejecutada es la numero 9, y la ultima la numero 0).
B 26267408
Tabla 8: Ronda 6 del proceso de cifrado. Ronda c A B
9 26570106 26570106 49561199
Q 0x3938373635343332313000070190CF10 8 26267408 26267408 26570106
R 0xFA71EAF5C58B4D3FC795BB4323188D43 7 74154043 74154043 26267408
S 0xFA71EAF5C58B4D3F 6 65289135 65289135 74154043
y 18046463523152416063 5 80763995 80763995 65289135
c 26570106 4 4125639 04125639 80763995
A 26267408 3 69605912 69605912 04125639
B 26570106 2 10881846 10881846 69605912
1 90123456 90123456 10881846
Tabla 9: Ronda 7 del proceso de cifrado. 0 12345678 12345678 90123456
Q 0x39383736353433323130000801956D7A Tabla 12: Datos obtenidos en las rondas de descifrado.

R 0xD3ADCC550C3C295F5A072FD2604ACD95 Una vez concluida la ultima ronda de descifrado,
S 0xD3ADCC550C3C295F se puede concluir que el resultado final es el numero
y 15253072178623293791 1234567890123456, obtenido al concatenar los elementos
c 49561199 A y B.
A 26570106 A ttulo ilustrativo, el tiempo medio de ejecucion de 100
B 49561199 procesos de cifrado ha sido 326 milisegundos, mientras que
Tabla 10: Ronda 8 del proceso de cifrado. el tiempo medio de ejecucion de 100 descifrados ha sido
323 milisegundos. Tal como era de esperar, debido al di-
Q 0x39383736353433323130000902F43E6F seno del algoritmo los tiempos de cifrado y descifrado son
R 0x9AD091D9651C215FF52BC77234D59DE5 practicamente iguales. Para la realizacion de las pruebas,
S 0x9AD091D9651C215F se ha utilizado un PC con sistema operativo Windows 7
y 11155576639886991711 Professional y procesador Intel Core i7 a 3.40 GHz.
c 13561817 VI. Conclusiones
A 49561199
B 13561817 En esta contribucion, se ha presentado y descrito uno
de los algoritmos de FPE candidatos para su estandari-
Tabla 11: Ronda 9 del proceso de cifrado. zacion por el NIST y ANSI. Este algoritmo, denominado
FFX[Radix], es lo bastante flexible para poder ser usado
con distintas bases (decimal, hexadecimal, alfanumerica,
Una vez concluida la ultima ronda, se puede concluir etc.) y con independencia de la presencia del valor tweak.
que el resultado final es el valor obtenido al concatenar Tras su implementacion mediante el lenguaje Java, pue-
los elementos A y B o, lo que es lo mismo, el numero de observarse que su aplicacion al cifrado del numero de
4956119913561817. las tarjetas de credito parece limitar su funcionamiento,
puesto que por ejemplo los diversos valores y generados
B. Descifrado
no difieren mucho entre s en cada iteracion del bucle, y
A continuacion se incluyen los datos del ejemplo de des- el elemento S siempre se obtiene unicamente a partir del
cifrado correspondientes a la cadena 4956119913561817 elemento R, lo que aconseja un estudio en mayor profundi-
(con representacion decimal), utilizando la misma cadena dad a fin de determinar si dichas caractersticas facilitan la
tweak 9876543210 y la misma clave 0x2B7E151628AED2A6 aparicion de vulnerabilidades y los consiguientes ataques.
114
6
Otra lnea de investigacion resultante del trabajo reali- [4] National Institute of Standards and Technology, Advanced
zado consiste en el estudio de la posibilidad de implemen- Encryption Standard, NIST FIPS 197, 2001.
[5] National Institute of Standards and Technology, Recommenda-
tar el mismo esquema en dispositivos con caractersticas tion for Block Cipher Modes of Operation: Methods and Tech-
computacionales limitadas, como por ejemplo las tarjetas niques, NIST SP 800-38A, 2001.
inteligentes. Este tipo de dispositivos se caracteriza por su [6] National Institute of Standards and Technology, Guides for
Implementing and Using the NBS Data Encryption Standard,
portabilidad y elevado nivel de seguridad, caractersticas NIST FIPS 74, 1981.
requeridas en algunos escenarios reales de implantacion [7] M. Brightwell y H. Smith, Using Datatype-Preserving Encry-
ption to Enchance Data Warehouse Security, en 20th NISSC
comercial [21]. Proceedings, pp. 141149, 1997.
Como es sabido [22], el lenguaje Java Card tienen por [8] J. Black y P. Rogaway, Ciphers with Arbitrary Finite Do-
definicion algunas limitaciones comparado con el lenguaje mains, Lecture Notes in Computer Science, vol. 2271, pp. 114
130, 2002.
Java utilizado en ordenadores personales y servidores, co- [9] T. Spies, Format Preserving Encryption, inedito, 2011.
mo por ejemplo la imposibilidad de utilizar elementos de [10] M. Bellare et al., Format-Preserving Encryption, Lecture No-
tipo long, String o BigInteger. tes in Computer Science, vol. 5867, pp. 295312, 2009.
[11] M. Bellare et al., The FFX Mode of Operation for Format-
Aunque es cierto que en su version 2.2.2 Java Card Preserving Encryption, propuesta enviada al NIST, 2010.
presento la clase BigNumber [23], la cual permite rea- [12] National Institute of Standards and Technology, Recommen-
dation for Block Cipher Modes of Operation: Methods for
lizar sumas y restas con numeros enteros de longitud Format-Preserving Encryption, NIST SP 800-38G, 2013.
arbitraria, en la practica existen varias limitaciones en [13] M. Bellare et al., Addendum to The FFX Mode of Operation
su uso. Para empezar, el paquete al que pertenece, for Format-Preserving Encryption, propuesta enviada al NIST,
2010.
javacardx.framework.math, es opcional, por lo que no [14] J. Vance et al., VAES3 Scheme for FFX, propuesta enviada
se encuentra implementado en muchas de las tarjetas dis- al NIST, 2011.
ponibles comercialmente. Ademas, la especificacion Java [15] E. Brier et al., BPS: a Format-Preserving Encryption Propo-
sal, propuesta enviada al NIST, 2010.
Card indica que, en caso de ser implementada la clase [16] National Institute of Standards and Technology, Analysis of
BigNumber, el numero mnimo de bytes en los que alma- VAES3 (FF2), comentarios al borrador SP 800-38G, 2014.
cenar el numero entero con el que se deseen realizar los [17] American National Standards Institute, Retail Financial Ser-
vices - Requirements for Protection of Sensitive Payment Card
calculos es 8 [24], por que lo el correcto funcionamiento Data - Part 1: Using Encryption Methods, ANSI X9.119, 2013.
de esta clase con numeros que requieran un mayor espa- [18] Voltage Security, AES FFX Test Vector Data version 1.0,
cio de almacenamiento no esta garantizado. Por ultimo, la documento enviado al NIST, 2011.
[19] Oracle Corporation, BigInteger (Java Platform SE 8), 2014.
clase BigNumber no incluye ningun metodo para realizar Disponible en: http://docs.oracle.com/javase/8/docs/api/
reducciones modulares [24] (como las necesarias en el paso java/math/BigInteger.html.
5-f de los algoritmos de cifrado y descifrado presentados [20] H. Schildt, Java: The Complete Reference (9 ed.). Nueva York:
Mcgraw-Hill Osborne Media, 2014.
en la Seccion IV), por lo que dichas operaciones tendran [21] W. Rankl y W. Effing , Smart Card Handbook (4 ed.). West
que implementarse mediante sucesivas operaciones de sus- Sussex: John Wiley & Sons, 2010.
traccion, lo que desde el punto de vista de la eficiencia [22] V. Gayoso Martnez et al., Java Card implementation of
ECIES using prime and binary finite fields, en 4th Interna-
computacional constituye una opcion demasiado costosa. tional Conference on Computational Intelligence in Security for
Por todo ello, implementar el algoritmo FFX[Radix] en Information Systems (CISIS 2011), pp. 160167, 2011.
[23] Oracle Corporation, Release Notes - Java Card
tarjetas Java Card constituye un reto cuya consecucion Specifications - Version 2.2.2, 2006. Disponible en:
permitira expandir las posibilidades de utilizacion de las http://www.oracle.com/technetwork/java/javacard/
tecnicas FPE. Con el fin de conseguir una implementa- documentation/releasenotes-jcspecspw-2-2-2-142671.html.
[24] Oracle Corporation, Application Programming Interface - Java
cion que fuera valida en cualquier tarjeta Java Card, sera Card Platform - Version 2.2.2, 2006. Disponible en: http://www.
necesario desarrollar una clase equivalente a BigInteger oracle.com/technetwork/java/javacard/specs-138637.html.
a partir de los tipos numericos disponibles en Java Card,
que permitiera operar con numeros de longitud variable
(pero con representaciones mayores de 8 bytes) y que im-
plementara de manera eficiente operaciones de aritmetica
modular.
Agradecimientos
Este trabajo ha sido parcialmente subvencionado por
la Comunidad de Madrid (Espana) bajo el proyecto
S2013/ICE-3095-CM (CIBERDINE) y por el Ministerio
de Economa y Competitividad (Espana) bajo el proyecto
TIN2014-55325-C2-1-R (ProCriCiS).
Referencias
[1] Departamento de Seguridad Nacional, Estrategia de cibersegu-
ridad nacional, Presidencia del Gobierno, 2013.
[2] A. Fuster Sabater et al., Tecnicas criptograficas de proteccion
de datos (3 ed.). Madrid: RA-MA, 2004.
[3] A. Fuster Sabater et al., Criptografa, proteccion de datos y apli-
caciones. Madrid: RA-MA, 2012.
115
1
Codigos monomiales vistos como subespacios

vectoriales invariantes
M. I. Garca-Planas, M. D. Magret, L.E. Um
Universitat Politecnica de Catalunya
Resumen Es bien sabido que los codigos cclicos son practicas ya que pueden ser codificados con registros de
muy utiles en aplicaciones en general y a los criptosistemas desplazamiento.
en particular, ya que no resultan costosos desde un punto
de vista computacional, ademas estos codigos alcanzan la Sea p sea un numero primo, q = pk para un cierto
mayor distancia mnima posible de acuerdo a su longitud k 1. Un codigo monomial q-ario de longitud n, se
y dimension. Por otra parte, es bien conocida la relacion
existente entre los codigos cclicos y los subespacios invari-
puede definir a traves de una n n-matriz generado-
antes. En este trabajo se presenta una generalizacion de ra con la propiedad de que cada fila (salvo la ultima)
esta relacion considerando codigos monomiales sobre un (c1 , c2 , . . . , cn ), ci GF (q), define la siguiente fila como
cuerpo finito F y subespacios hiperinvariantes de Fn con re- (an cn , a1 c1 , a2 c2 , . . . , an1 cn1 ), donde a1 , . . ., an son
specto una apropiada aplicacion lineal. Usando tecnicas de
Algebra Lineal es posible deducir ciertas propiedades para ciertos elementos fijos de GF (q)\{0}. Los codigos cclicos
este tipo particular de codigos, generalizando resultados (a1 = . . . = an = 1) y los codigos constacclicos (a1 =
conocidos sobre codigos cclicos. . . . = an1 = 1) son subclases especiales de los codigos
monomiales de GF (q)n . De forma similar, los codigos
I. Introduccion monomials pueden ser descritos en terminos de algebra lin-
eal. Este artculo esta dedicado al estudio de estos codigos,
Es bien sabido que los codigos correctores de errores y utilizando algebra lineal,. Nuestro punto de partida sera
los sistemas criptograficos tienen objetivos opuestos, ya el polinomio caracterstico del endomorfismo de GF (q)n
que con los codigos se trata de proteger la informacion cuya matriz en la base canonica es la que representa al
de los errores ocasionales consecuencia de su manipu- codigo monomial.
lacion es cecir, los que intentan resolver las dificultades
planteadas por falta de fiabilidad del canal y en los sis- Recordemos que, dado un endomorfismo de un espacio
temas criptograficos tambien llamados codigos secretos, vectorial E sobre el cuerpo F, un subespacio V E -
se trata de garantizar su confidencialidad, integridad y invariante es hiperinvariante si es invariante por todas las
seguridad. Sin embargo tambien tienen objetivos com- aplicaciones lineales que conmutan con .
plementarios. La dificultad para descodificar los codigos
correctores de errores se ha aprovechado para construir II. Subespacios invariantes por aplicaciones
sistemas criptograficos a partir de dichos codigos. Entre monomiales
dichos sistemas se encuentra el ya conocido de McEliece
para clave publica. En tal sistema la clave privada de cada Sea p un numero primo, q = pk para algun k 1 y F =
usuario constituye la matriz generatriz G de un codigo li- GF (q). Consideremos el n-dimensional espacio vectorial
neal C sobre un cuerpo finito Fq junto con un algoritmo de Fn sobre el cuerpo F.
descodficacion. La matriz G se enmascara mediante una Sea a = (a1 , . . . an ) un conjunto de n parametros de F
matriz de permutacion obteniendo as la clave publica, [1], y consideremos la siguiente aplicacion lineal
[2], [3].
Paralelamente el empleo de la criptografa para prote-
a : Fn Fn
ger las comunicaciones, esta la tecnica conocida como es- (1)
(x1 , . . . , xn ) (an xn , a1 x1 , . . . , an1 xn1 )
teganografacuyo uso va en aumento y que consiste en el
disimulo de informacion y que se utiliza con el fin de pro-
teger alguna informacion en un soporte numerico anodino cuya matriz asociada con respecto la base canonica {e1 =
y es el soporte que es enviado sobre un canal publico de (1, 0, . . . , 0), e2 = (0, 1, . . . , 0), en = (0, 0, . . . , 1)} es:
transmision. Estas tecnicas de disimulo de informacion

estan basadas en los codigos cclicos sobre el anillo Z4 , 0 0 ... 0 an
[4],[5]. Posiblemente se pueda mejorar la eficacia en el dis- a1 0 ... 0 0

imulo utilizando una generalizacion de los codigos cclicos 0
Aa = 0 a2 ... 0 . (2)
como pueden ser los codgos monomiales. .. .. .. .. ..
. . . . .
Una primera generalizacion de los codigos cclicos
fueron los codigos constacclicos introducidos por E. R. 0 0 . . . an1 0
Berlekamp en [6]. Una mas amplia generalizacion es la de
codigos monomiales y una primera aproximacion usando Esta matriz recibe el nombre de matriz monomial. Obser-
algebra lineal para estudiar este tipo de codigos fue intro- vamos que esta matriz se puede escribir como producto de
ducido en [7]. los codigos monomiales tienen aplicaciones una matriz diagonal diag (an , a1 , . . . , an1 ) y una matriz
116
2
permutacion Proposicion 3: El centralizador C(Aa ) de Aa es el con-

0 0 ... 0 1 junto de matrices Ya = SXa S 1 , if Aa S = SAa .
1 0 ... 0 0 Demostracion: Por la proposicion 2, tenemos Xa Aa =

0 1 ... 0 0 Aa Xa . Entonces, SXa S 1 Aa = Aa SXa S 1 .
.
.. .. .. ....
. . . . . Observar que si v = (v1 , . . . , vn ) es un vector propio of
0 0 ... 1 0 Aa , entonces:
Propiedades
an vn = v1
Esta aplicacion verifica:
a1 v1 = v2
1) AanQ
= a1 . . . an In
n a2 v2 = v3
2) si i=1 ai 6= 0 entonces A1
a = Qn 1 n1
a i Aa = Ata , .. (3)
i=1
donde a = ( a11 , . . . , a1n ). .
an2 vn2 = vn1
Qn caracterstico es pa (s) = det(A sIn ) =
3) su polinomio
an1 vn1 = vn
(1)n (sn i=1 ai ). Qn
Proposicion 1: Supongamos que a = i=1 ai 6= 0. En-
tonces, la matriz En particular, tenemos que

0 0 ... 0 an n1 n2
v= , ,..., ,1 (4)
a1 0 . . . 0 0 a1 . . . an1 a2 . . . an1 an1

0 a2 . . . 0 0
Aa = y tenemos la siguiente proposicion.
.. .. . . .. ..
. . . . . Proposicion 4: Sea GF (q) un elemento tal que
Qn
0 0 . . . an1 0 n = i=1 ai . Entonces, el subespacio [v] generado por el
vector v dado en (4) es un subespacio hiperinvariante.
es equivalente por la relacion
de semejanza a
Demostracion:

0 0 ... 0 a Aa v = v
1 0 . . . 0 0
y dado Ya C(Aa ), entonces
. . . 0 0
Aa = 0 1
.. .. .. . .
. . . .. .. Ya v =
0 0 ... 1 0 S(xn I + xn1 Aa + xn2 A2a + . . . + x1 An1
a )S 1 v
1 2 1
Demostracion: Es facil probar que = xn v + xn1 SAa S v + xn2 SAa S v + . . . +
+x2 SAan2 S 1 v + x1 SAn1
a S 1 v
Aa S = SAa . = xn v + xn1 v + xn2 v + . . . + x1 n1 v
2
= v
con
Qn
0 0 ... 0 i=1 ai con = xn + xn1 + x2 2 + . . . + x2 n2 + x1 n1 F.
a1 0 ... 0 0

S =0 a1 a2 ... 0 0 Proposicion 5: Sea F un subespacio invariante de Aa .
.. .. .. .. ..
. . . . . Entonces F es hiperinvariante.
Qn1 Demostracion: Basta con observar que, para todo Ya
0 0 ... i=1 ai 0
C(Aa ),

SXa S 1 = xn I + xn1 Aa + xn2 Aa2 + . . . + x1 An1
a .
En esta seccion probamos que los subespacios a -
invariantes son tambien a -hiperinvariantes, (aquellos que
son invariantes por todas las aplicaciones lineales que con-
mutan con a ), (Ver [8] y [9] para mas informacion acerca Por lo tanto, tenemos que en este caso el retculo de
de estos subespacios). subespacios invariantes coincide con el retculo de sube-
Necesitamos calcular el centralizador de Aa , para ello spacios hiperinvariantes.
primero calculamos el centralizador de la matriz Aa .
Proposicion 2 ([7]) El centralizador C(Aa ) es el con- Hinv (Aa ) = Inv (Aa ).
junto de las matrices Xa de la forma:
Definicion 1: i) Sea u = (u1 , . . . , un ) y v = (v1 , . . . , vn )
x
n ax ax1 ax . . . ax
2 3ax n2 n1 dos vectores in Fn . Definimos un producto interno sobre
xn1 xn ax1 abx2 ... axn3 axn2
F de la manera siguiente:
.. .. ..
. . .

Xa = .. .. .. < u, v >= u1 v1 + . . . + un vn .
. . .
x x4 x5 x6 ... ax1

ax2
3 ii) Dos vectores u, v de Fn son ortogonales si, y solo si
x2 x3 x4 x5 ... xn ax1
x1 x2 x3 x4 ... xn1 xn < u, v >= 0.
117
3
iii) Sea F un subespacio de Fn , definimos el espacio dual Demostracion:

(y lo denotaremos por F ) como
Pn Pn `i n` j `j
n < ui , vj >= `=1 `i n` = `=1 =
F = {v F | u F, < u, v >= 0}. j
`
Proposicion 6: Sea F un subespacio invariante de Aa . ` j`
Pn i Pn i
Entonces F es un subespacio invariante de A1 . `=1 nj = a1 . . . an `=1 =
a j P j
Demostracion: Sea v F , entonces, para todo u F n `
a1 . . . an P`=1 1 = a1 . . . an n si i = j
n
(consecuentemente Aa u F ) tenemos a1 . . . an `=1 ()` = 0 ( raz de la unidad) si i 6= j
Qn
0 =< Aa u, v >=< u, Ata v >=< u, i=1 ai An1 v >=
a
< u, A1
a
v> De esta proposicion se puede deducir facilmente, la ma-
triz inversa de la matriz S.
Luego A1
a
v F .
III. Codigos monomiales vistos como subespacios
Sea F[1 , . . . , n ] una extension algebraica de F = invariantes
GF (q)pyQsean 1 , . . . , n los valores propios de a con
n
i = n i=1 i , i =p1, . . . , n, donde es una n-raz primi- Definicion 2: Un codigo C de longitud n sobre el cuerpo
Qn F recibe el nombre de monomial con respecto a1 , . . ., an ,
tiva de la unidad y n i=1Qai es un cero fijo, (aunque
Qn arbi-
n si siempre que c = (c1 , . . . , cn ) este en C, entonces sc =
trario) del polinomio sn i=1 ai , donde 0 6= i=1 ai F.
(an cn , a1 c1 , . . . , an1 cn1 ) esta tambien en C.
Sean vi , i = 1, . . . , n los respectivos vectores propios. En
La aplicacion sc se puede representar en forma matricial
particular tenemos

0 0 ... 0 an c1 an cn
n1 n2
i a1 0 . . . 0 0
c2 a1 c1
i i
Aa vi = i vi , vi = , ,..., ,1 ,
a1 . . . an1 a2 . . . an1 an1 0 a2 . . . 0 0
c3 = a2 c2
.. .. . . .. .. .. ..
i = 1, . . . , n, . . . . . . .
donde Aa es la matriz de 0 0 . . . an1 0 cn an1 cn
a : F[1 , . . . , n ]n F[1 , . . . , n ]n que corresponde a la matriz (2) de la aplicacion lineal (1).

Observese que en el caso en que ai = 1, para todo i, el
definida como en 2. codigo es cclico y si a1 = . . . = an1 = 1 es constacclico
Consideremos la base v = (v1 , . . . , vn ) de vectores pro- (ver [10]).
pios de a . Aplicando el cambio de base a Aa a la base de Si bien aplicando la proposicion 1 el estudio podra re-
vectores propios, obtenemos la siguiente matriz diagonal ducirse al caso de los codigos constacclicos, vamos a ha-
cerlo directamente sobre codigos monomiales. Estamos
1 0 . . . 0 interesados enQel caso en que an 6= ai para algun i =
0 2 . . . 0 n
2, . . . , an1 y i=1 ai 6= 0. En particular, tenemos que

Da = . = S 1 AS
.. ... . . . ...
considerar q > 2. Como consecuencia inmediata de la
0 0 . . . n definicion 2 tenemos la siguiente proposicion.
Proposicion 8: Un codigo lineal C de longitud n sobre
y teniendo en cuenta (4) tenemos el cuerpo F es monomial si, y solo si, C es un subespacio
Aa -invariante de Fn .
Como consecuencia de la proposicion 5 tenemos el si-
n1 n1 n1
1 2
... n
a1 ...a n1 a1 ...an1 a1 ...an1 guiente resultado.
n2 1 n2
2
...
n2
n
a2 ...a a2 ...an1 a2 ...an1 Proposicion 9: Un codigo lineal C de longitud n sobre
n1

S= .. .. .. el cuerpo F es monomial si, y solo si, C es un subespacio
. . . Aa -hiperinvariante de Fn .
1 2 n
a ... Suponamos
n1 an1 an1
Qnahora que (n, q) = 1 and pa (s) =
1 1 ... 1 (1)n (sn i=1 ai ) no tiene races multiples y descom-
pone en factores irreducibles monicos todos distintos.
Definimos ahora los siguientes vectores Proposicion 10: Sea C un codigo quasicclico, y
ui = (i a1 . . . an1 , 2i a2 . . . an1 , . . . , n1 an1 , ni ), pa (s) = (1)n pa1 (s) . . . par (s)
1in
(5) la decomposicion de pa (s) en factores irreducibles. En-
Proposicion 7: El conjunto de vectores definidos en (5) tonces C = Ker pai1 (Aa ) . . . Ker pais (Aa ) para ciertos
verifican la siguiente relacion. subespacios Aa -invariantes minimales Ker paij (Aa ) de Fn .
Demostracion: Es facil ver que Ker pai (Aa ) para i =
a1 . . . an n if i = j 1, . . . , r son Aa -invariantes. Para v Ker pai (Aa ), Aa v =
< ui , vj >=
0 if i 6= j pa1 (Aa ) . . . par (Aa )v = 0.
118
4
Los subespacios Ker paij (Aa ) son minimales puesto que IV. Matrices de paridad de codigos monomiales
los polinomios pai (s) son irreducibles. Sea F[1 , . . . , n ] la extension algebraica considerada en
Ahora, definimos pbi (s) = pa (s)/pai (s). Teniendo en la seccion II.
cuenta que Consideremos la base v = (v1 , . . . , vn ) vectores propios
mcd(b p1 (s), . . . , pbr (s)) = 1, de a . Del corolario 1 y con respecto a esta base tenemos
existen polinomios q1 (s), . . . , qr (s) tales que que c C si, y solo si g(Aa )c = 0.
Puesto que Da es una matriz diagonal, la matriz g(Da )
q1 (s)b
p1 (s) + . . . + qr (s)b
pr (s) = 1. es tambien diagonal y
Sea x C, entonces x = q1 (Aa )b p1 (Aa )x + . . . + g(Aa ) = g(SDa S 1 ) = Sg(Da )S 1

qr (Aa )b
pr (Aa )x. Llamando xi = qi (Aa )b
pi (Aa )x y teniendo
en cuenta que C es Aa -invariante y que xi Ker pai (Aa ) La condicion g(Aa )c = 0 se escribe como g(Da )c0 = 0
tenemos que xi C Ker pai (Aa ). donde c0 = S 1 c.
Sin perdida de generalidad podemos suponer que
Ejemplo 1: Consideremos la matriz Aa para an = 1 , . . . , n estan ordenados de tal manera que g(i ) = 0,
2, a1 = 4, a2 = . . . = an1 = 1, n = 8 y q = 5. En- para todo 1 i k y g(i ) = i 6= 0, para todo
tonces tenemos p(s) = pa (s) = s8 1. Factorizando k + 1 i n (entonces, y puesto que mcd(g(s), h(s))=1,
p(s) en factores irreducibles sobre F = GF (5) tenemos h(i ) 6= 0, para todo 1 i k y h(i ) = 0, para todo
pa (s) = p1 (s)p2 (s)p3 (s)p4 (s)p5 (s)p6 (s) = (s+1)(s+2)(s+ k+1 i n). Dado c = (c1 , . . . , cn ) y c0 = (c01 , . . . , c0n ) te-
3)(s + 4)(s2 + 2)(s2 + 3). Los factores pi (s) definen sub- nemos que g(Da ) = (0, . . . , 0, k+1 c0k+1 , . . . , n c0n ). Equi-
espacios Aa -invariantes minimales Fi = Ker pi (Aa ), para valentemente:
i = 1, 2, 3, 4, 5, 6.
0
Definimos un codigo monomial C de la manera
..
1 .
C = F1 F5 = Ker (p1 (Aa )) Ker (p5 (Aa )) 0
k+1
a1 . . . an n
..
p1 (s) p5 (s) = s3 + s2 + 2s + 2 y A3a + A2a + 2Aa + 2I es .
a ...a n
la matriz siguiente 1 1
2
n1 1 a2 ...an1 ... 1
n1
an1 n 1 c1
c.2
2 n1 n
2 a 1 ...an1 2 a 2 ...an1 ... 2 a n1 2
2 0 0 0 0 1 3 3 .. .. .. .. .. =
2 2 0 0 0 0 3 4 . . . .n cn
n a1 ...an1 2 n1
n a2 ...an1 ... n an1 n
2 4 2 0 0 0 0 3 0

4 4 4 2 0 0 0 0 . ..
cc1
0 3 4 4 2 0 0 0 1 0 2
k+1 k+1 a1 ...an1 n
... k+1 k+1 ..
0 0 3 4 4
2 0 0 a1 . . . an1 n .. .. c.n
0 0 0 3 4 4 2 0 . .n
n n a1 ...an1 ... n n
0 0 0 0 3 4 4 2
=0
Ker (Aa3 + A2a + 2Aa + 2I) =
[(1, 4, 2, 1, 3, 4, 2, 1), (1, 0, 4, 0, 2, 0, 1, 0), Entonces, podemos deducir la siguiente proposicion.
(0, 3, 0, 4, 0, 2, 0, 1)] . Proposicion 12: Sean uij , 1 j r = nk vectores de
Corolario 1: Sea C un codigo monomial entonces existe la familia (5) correspondientes a ij con g(ij ) = ij 6= 0.
g(s) que verifica pa (s) = g(s) h(s) con gcd(g(s), h(s)) = 1 Entonces c es una palabra del codigo monomial C si y solo
tal que g(Aa )c = 0, c C. si
Considerando el producto interno introducido en la uij c = 0, 1 j r.
definicion 1, podemos definir el codigo dual de uno dado. Como consecuencia la matriz
Definicion 3: Sea C un codigo lineal de longitud n sobre
F. Definimos el codigo dual de C (y lo denotaremos por A = (uij ) M(nk)n (F[1 , . . . , n ])
C ) al conjunto de todas las palabras que son ortogonales
a todas las palabras de C. es una matriz de paridad del codigo monomial sobre el
cuerpo F[1 , . . . , n ].
C = {v Fn |< v, c >= 0, c C}. Ejemplo 2: Sobre F = GF (5) consideramos un codigo
Proposicion 11: Sea C un codigo monomial con respec- monomial C con an = a1 = 2, a2 = . .. =
a1
= 1 yn = 4
to a1 , . . ., an . Entonces, su codigo dual C es monomial definido por g(s) = s2 2. Sobre F[ 2, 4 2,
3, 4 3], el
con respecto a11 , . . ., a1n . polinomio h(s) = s2 + 2 = (s 3)(s 4 3).
Demostracion: Es consecuencia de la proposicion 6. Entonces
3 2 3 3 3 4
En el caso en que a1 = . . . = an = 1 obtenemos el
3 3 3 2 3 4
resultado bien conocido sobre codigos cclicos.
Corolario 2: El codigo dual de un codigo cclico es es una matriz
de paridad del codigo C sobre
cclico. F[ 2, 4 2, 3, 4 3].
119
5
V. Distancia de Hamming b) Sea U = [x1 , . . . , xm ] un conjunto consecutivo de ceros

del polinomio sn 1. Definimos la matriz
Recordemos que el peso de Hamming de un vector v es
el numero se entradas no nulas y lo denotamos por wH (v)
x1 x21 . . . xn1
y se define la distancia de Hamming entre dos vectores .. M
XU = ... ..
. . mn (F[1 , . . . , n ]).
como el peso del vector diferencia, por lo que se tiene que
wH (x) = dH (x, 0). El peso mnimo de un codigo C es el xm x2m . . . xnm
mnimo de todos los pesos de todas las palabras de C no Sea C un codigo monomial definido por el polinomio
nulos. pa (s) = g(s) h(s) sobre el cuerpo de descomposicion
F[1 , . . . , n ] de pa (s) y consideramos ahora el conjunto
de todos los ceros de h(s). Siguiendo la proposicion
wmin (C) = min06=xC (wH (x)) 12 la matriz A es la matriz de paridad del codigo C, si
la distancia mnima de C sobre F[1 , . . . , n ] es dH (A ).
Teniendo en cuenta que dH (x, y) = dH (xz, y z) para
Entonces, la distancia mnima de C sobre F es al menos
todo z y que en particular dH (x, y) = dH (x y, y y) =
dH (A ), puesto que C sobre F es un subcodigo sobre un
dH (x y, 0) tenemos que sobre un cuerpo, la distancia de
subcuerop de C sobreF[1 , . . . , n ].
Hamming es invariante por translacion y, en particular,
Observacion 1: Notese que los menores de A son del
para codigos lineales, el peso mnimo es igual a la distancia
tipo de Vandermonde.
mnima.
Teorema 1: Sea el conjunto definido en 5 y U un con-
Vamos a obtener una cota para la distancia mnima en-
junto consecutivo de races de sn 1 tal que dH (A ) 2
tre dos codigos monomiales de una forma similar a la pre-
0. Then, dH (A (XU )) dH (A ) + card U 1.
sentada por Roos en [11] para codigos cclicos.
Demostracion: Es suficiente observar que en esta particu-
Sea F un cuerpo finito y lar configuracion dH (A ) 2, entonces, podemos aplicar
el lema 1.
a11 . . . an1
.. . Como corolario deducimos de forma analoga al resul-
A = a1 ... an = ... . tado obtenido por Radkova y Van Zanten,en [10], el si-
a1` ... an` guiente teorema.
Teorema 2: Sea C un codigo monomial de longitud n
Sea C un codigo lineal sobre F teneindo a A como matriz sobre F, y pa = g(s)h(s). Para ciertos numeros enteros
de paridad y dH (A) la distancia mnima de C. `, m 1, supongamos que h(s) tiene una cadena de m
Recordemos que dH (A) = d si y solo si, cada conjunto ceros consecutivos: h(` ) = h(`+1 ) = . . . = h(`+m1 ) =
de d1 columnas es linealmente independiente y hay algun 0. Entonces, la distancia mnima de C es al menos d.
conjunto de d columnas de A es linealmente
dependiente. Ejemplo 3: Sean n = 9, q = 7, an = 2, a1 = 3, a2 =
x11 . . . x1n . . . = an1 = 1 y sea una 18-raz primitiva de la unidad.
.. con columnas
Para una matriz X = ... . Teniendo en cuenta que (x18 1) = (x9 1)(x9 + 1), es
xm1 . . . xmn una raz de x9 +1 y 2 = es una raz primitiva de x9 1.
xi Fm para 1 i n no nulas, consideramos Queremos clasificar los ceros con respecto a los divisores
irreducibles de x9 + 1. Determinamos las clases laterales
ciclotomicas de 7 modulo 18 conteniendo los enteros im-
A(X) = x1 a1 ... xn an
pares: C1 = [1, 7, 13], C3 = [3], C5 = [5, 17, 11], C9 = [9],
C15 = [15].
Es bien conocido el siguiente resultado debido a Roos
Sean i los ceros de h(s) con i C1 C5 , por lo tanto
([12]).
h(s) = (s )(s 7 )(s 13 )(s 5 )(s 17 )(s 11 ).
Lema 1: Si dH (A) 2 y cada m (m + dH (A) 2) sub- Dado que i = i = 2i+1 los ceros de h(s) pueden
matriz de X tiene rango maximo, entonces dH (A(X)) escribirse como 2 ,3 ; 5 ,6 ; 8 , 9 . Luego h(s) tiene
dH (A) + m 1. una cadena de dos ceros consecutivos. Entonces, los dos
Definicion 4:QSea M = [i1 , . . . , i` ] un conjunto de ` codigos monomiales tienen una distancia mnima d 3.
n
races de sn i=1 a i en F[1 , . . . , n ]. Diremos que
M es un conjunto consecutivo de longitud `, si existe una Referencias
n-raz p
primitiva
Qn de la unidad
pQn y un exponente i tal que [1] R.J. McEliece, A public key cryptosystem based on algebraic
M = [ n i=1 ai i , . . . , n i=1 ai i+`1 ]. coding theory. DNS Progress Report, pp. 42-44. Jet Propulsion
Laboratory- California Inst. Of Tech, (1978).
Definicion 5: a) Sea Q= [j1 , . . . , j` ] un conjunto de [2] E. Martnez Moro, C. Munuera Gomez. Un Sistema criptografico
n
ceros del polinomio sn i=1 ai . Definimos la matriz de clave publica a partir de codigos correctores en Avances en
criptologa y seguridad de la informacion, Directores B. Ramos
Alvarez, A. Ribagorda Garnacho, pp. 125-130, (2004).
j1 a1 . . . an1 2j1 a2 . . . an1 . . . nj1 [3] E. Celikel Cankaya, S. Nair, H. C. Cankaya. Applying error cor-
.. .. .. rection codes to achieve security and dependability. Computer
A = . . . Standards & Interfaces. 35, pp. 78-86, (2013).
j` a1 . . . an1 2j` a2 . . . an1 . . . nj` [4] H. Jouhari, El M. Souidi. A New Steganographic Scheme based
on First Order Reed Muller Codes. In Proceedings of the Interna-
tional Conference on Security and Cryptography, Sevilla, Spain,
M`n (F[1 , . . . , n ]). pp. 351-356, (2011).
120
6
[5] H. Jouhari, El M. Souidi. Application of Cyclic Codes over Z4

in Steganography. Journal of Applied Mathematical Sciences, 6,
(139), (2012).
[6] E.R. Berlekamp, Algebraic Coding Theory. Mc Graw-Hill,
NewYork (1968).
[7] M.I. Garcia-Planas, M.D. Magret, M.E. Montoro, Cyclic Codes
as Hyperinvariant Subspaces. Proceedings of 6th International
Conference on Physics and Control (PhysCon 2013,) (2013).
[8] P. Astuti, H.K.,Wimmer, Characteristic and hyperinvariant
subspaces over the field GF(2). Linear Algebra and its Appli-
cations, 438(4), pp. 1551-1563, (2013).
[9] P.A. Fillmore, D.A. Herrero, W.E. Longsta, The hyperinvariant
subspace lattice of a linear transformation. Linear Algebra and
its Applications, 17(2), pp. 125-132, (1977).
[10] D. Radkova, A.J., Van Zanten, Constacyclic codes as invariant
subspaces. Linear Algebra and its Applications, 430, pp. 855-864,
(2009).
[11] C. Roos, A New Lower Bound for the Minimum Distance of
a Cyclic Code. IEEE Transactions on Information Theory II-29
(3), pp. 330-332, (1983).
[12] C. Roos, A generalization of the BCH bound for cyclic codes,
including the Hartmann Tzeng bound . J. Comb. Theory Ser.
33, pp. 229-232, (1982).
121
JNIC2015 Octava Sesion: Temas relacionados con la ciberseguridad
Towards Automatic Integration of Information

Security Governance and Management
using a BPMS approach
Angel J. Varela Vaca and Rafael M. Gasca
Universidad de Sevilla, Dpto. Lenguajes y Sistemas Informticos,
Avda. Reina Mercedes S/N, 41012, Sevilla, Espaa
Quivir Research Group, http://www.lsi.us.es/~quivir
{ajvarela, gasca}@us.es
Abstract- The information security management is more and authenticity, integrity, confidentiality, availability and
more carried out by means of business processes although traceability.
disregarding the quality of management enough. In order to
improve that quality, we propose to carry out the automation of the The question is how to propose the automatic integration of
information security governance. To achieve a high maturity level in both competencies with the idea to reach the level of maturity
the information security management, the integration of processes in the security management according to the business goals.
for good governance is needed, which enables to ensure the maturity This vision is being carried out for the ISG/ISM in the area of
level 4: Qualitatively Controlled, such as ISO/IEC 21827:2008 development of projects of R&D in the Research Group
proposed. This level allows establishing measurable quality goals
and objectively managing performance. This work enables to reach Tecnologas Inteligentes y de Seguridad en Sistemas de
these levels by using business process management systems to Informacin which belongs to Foundation for Investigation
implement a good information security governance, combined with and Development of Information Technologies of Andalusia
the integration of business processes for the information security (FIDETIA) and has been certified in the standard ISO/IEC
management. 27001:2013 [3] in the last years.
The rest of the paper is structured as follows: Section II
I. INTRODUCTION
show an overview of ISG by means of introducing the basis
Nowadays, Information has become in a corner stone in the and the framework followed; Section III brings both
information society. Information is a crucial asset to any automation and business processes up for a good ISG; Section
business therefore it must be correctly protected. Currently, it IV shows a successfully case study where processes and
is common to find organizations that offer and consume mechanisms to automate ISG are shown in practice; in Section
services and processes over the Internet. These services and V conclusions are drawn and future work is proposed.
processes consume a wide range of information (social II. INFORMATION SECURITY GOVERNANCE
network opinions, news feeds, financial data, etc.) that is
probably used for decision-making processes. For this reason It is widely accepted that Information Security Governance
information assurance is an essential factor that has to be (ISG) is a subset of corporate or enterprise governance. The IT
ensured in the IT systems for the organizations. Since, an Governance Institute (2001) defines enterprise governance as
information leakage can suppose terrible consequences [1] the set of responsibilities and practices exercised by the board
such as lack of reputation or privacy loss among others. and executive management with the goal of providing
strategic direction, ensuring that objectives are achieved,
Organizations are using business processes as core for the
ascertaining that risks are managed appropriately and verifying
business enterprise management. According to this idea,
that the enterprises resources are used responsibly. Then by
business processes are being created to the Information
extending this definition, ISG could include: security
Security Management (ISM). In the majority of cases a Good responsibilities and processes, risk assessment and
Governance of the IS is left out instead of becoming to a management, compliance with security policies, rules,
strategic asset in the last years. For instance, Small and regulations and legislation, monitoring and control of security
Medium Enterprises (SME) composed almost the 98 percent of activities. Our proposal is focused in the automation of ISG
the business landscape in Spain. Indeed, the 19.5 percent of with computational tools.
Spanish enterprises are currently breaking security regulations The framework followed; such as shown in Fig. 1,
like LOPD or LSSI [2] because of an incorrect way of directing implements three main processes:
Information Security Governance (ISG). Direct where Security Governance can establish
The Governance and Management of the IS in conjunction policies and define a pack of metrics to be measured in an
allows protecting the information provided by processes that interactive and step by step way.
comply with the security requirements related to the
122
Monitor where measurements are gathered during the practical guidance for information security professionals and
processes are enacted. Monitoring requires to include other interested parties at all levels of the enterprise.
pieces of software at the processes (imperceptible for But all this theory of these standards is necessary to put in
customers) that enable to collect information about the practice furthermore integrating it within information security
metrics. management.
Evaluation which enables the Security Governance to
analyse the different metrics in order to decide whether new III. AUTOMATIC INFORMATION SECURITY GOVERNANCE
countermeasures should be applied. This process can be USING BPMS
carried out manually when governance needs or a report
can be obtained regularly. To accomplish the objectives previously set for the ISG, we
propose to automate those processes by means of Business
Process Management Systems (BPMS). This kind of systems
enables to align the processes of good ISG with the
Automated Security Governance
information security management (ISO 27001/2013) and also
carry out the main tasks for the ISG: Direct, Evaluate and
Policies Bussiness Monitor. In order to do that, we propose to integrate together
rules
the processes already established for the Information Security
Constraints Management and the processes for ISG. Therefore the
Direct
following items must be defined in those systems:
The organizational structure which governs the
information security in which information security
Monitor Evaluate
management must be integrated.
The business processes of ISG which has to be
integrated with the management processes in such a
Logs
KPI Analysis way which enables to carry out the governances task
from the task in the information security management.
The business rules established by the direction that
Trails
Diagnosis
have to be included in the business processes of the IS
Governance.
Connectors/ All of that enables to reach a level of maturity in the IS

Report
Validators
management within organization which rise up to maturity
level 4 Qualitatively Controlled proposed by ISO 21827:2008,
moreover it enables to establish measurable quality goals
IT Business Process Management
objectively managing performance of the IS.
Nowadays, Business Process Management (BPM) has

Figure 1. Security Governance framework become a cutting-edge field in IT arena. BPM [10] consists of
a strategy to administrate and improve the operational aspects
of businesses by means of a cycle encompassed by the
The most important international standards related to ISG following stages: modelling, enactment, and evaluation. It
have been established in the publications of S. H. von Solms constitutes a methodology of good practices within a
and R. von Solms [3], the recent ISO/IEC 27014:2013 [5] and technological solution. Currently, Business Process
COBIT 5 for Security Information [6]. Management Systems (BPMS) constitute a set of services and
tools that make easy the management of business processes.
S.H. von Solms and Rossouw von Solms [7][8][9] have Here, the management is considered as: analysis, definition,
published a wide number of articles related to ISG, but from a execution, simulation, monitoring, and control of processes.
theoretical point of view. In their book Information Security Furthermore, these systems enable the human interaction with
Governance [4], they established a specific description of ISG. processes by web forms providing mechanisms to enact
Also, ISO/IEC 27014:2013 standard established that ISG is a automatic tasks even they can be integrated with third-external
system by which an organization's information security applications.
activities are directed and controlled and COBIT 5 provides a
framework that helps enterprises in achieving their objectives In the next section a case study which shows how to carry out
for the governance and management of enterprise IT in a the integration of ISG with processes for the identity
holistic manner. COBIT 5 for Information Security is management of an entity engaged in development of projects
integrated on the COBIT 5 framework. It focusses on of R&D.
information security and provides more detailed and more
123
defined and structured. These two processes are shown in Fig.

IV. CASE STUDY 6-8 at the Appendices.
In this case study we show how to automate the ISG by Project R+D
means of a BPMS particularly BonitaSoft environment [11]. GROUPS
The case study focuses on an entity which needs to implement Information Management Team
Human
an adequate identity management procedure to accomplish Security
Govern
of Information
Security
Resources
Staff
with current regulations such as article 93.3 from RD ROLES
1720/2007 from Spanish Government: When the

authentication mechanism is based on password must have a Bussiness System Administrative
Researcher
Manager Administrator staff
procedure to assign, distribute and to store which guarantees
the confidentiality and the integrity. Furthermore, ISO/IEC
27001:2013 standard requires the definition of a control about Establish policies
Register new Doctors
and Nurses*
Register user in HR
database
Ask for registration in
LDAP
the rights access revocation and reassignment at procedure *Previously must be registered in
LDAP
A.9.2.6. These business goals enable ISG to ensure the
Modiy user Modiy user
achievement of maturity level 4 maturity according with the Monitor KPIs Register users leaving
in HR database information
required at ISO/IEC 21827:2008.

Business
Modiy user Role Group Process
Get reports
information
The two main drawbacks have been identified are: firstly it Legend
is the time of registration process since it is too long; secondly

passwords have been chosen by the users are usually so weak, Figure 2. Roles, groups and business processes of the entity.
up to the point that in several occasions privacy and
confidentially has been compromised. All processes to support The ISG has directed these requirements by means of:
the tasks for the identity management at the entity have been Defining a set of metrics (Key Performance
carried out manually without monitoring mechanisms. In order Indicators, hereinafter KPI).
to improve those processes the entity has proposed to automate Proposing a set of particular policies.
the identity management by using a BPMS. Therefore the goals Requesting reports to see the compliance of the
of this project are the following: established metrics.
1. The compliance of the particular policies (95% of total A. Establishment of KPIs
passwords comply the established rules) and ISO/IEC The KPIs establishment requires a previous work for the ISG
27001:2013 by means of the implementation and that enables the metrics how, what, and when must be defined.
deployment of the corresponding processes for ISG in a In this case, we propose to use a template such as proposed in
BPMS. ISO/IEC 27004:2009 [13] where the most relevant information
2. Once deployed must be carried out simulations to check about the metrics can be established. Templates are a formal,
the compliance of the following SMART (Specific, organised and systematic way to define a metrics since the
Measurable, Achievable Relevant and Time-targeted) most relevant information is established in that template such
objectives [12] proposed by the ISG: as controls to be carried out or the decision criteria has to be
a. Current user registration process takes at least 3 days applied. An example metrics definition looks like as following
from user/password is requested until is received. Users Table 1, where a KPI is defined to measure the password
(researchers, administration staff, and third parties) by quality in the registration process for the entity.
the time they are contracted, they are added to the Once the KPIs are defined, the ISG has to introduce that
Human Resources (HR) database which contains all the information in the systems by launching the Direct ISG
users. On the other hand, there is a LDAP database in process.
the Communications Administration Service which
contains all users used by other applications. The entity B. Direct ISG process
pursues to improve the time of user/password In Figure 7, the business process shows the control-flow
assignment in 60% from the submission until reception. which is composed of two sub-processes:
b. The relation of users that exists daily in HR and LDAP 1. A manual process that enables the ISG two options: to
database is 1.0 and all the users in LDAP database are establish a new policy and to evaluate a metrics.
in the HR database. 2. An automatic process where metrics (KPI) are
collected and reported monthly.
The entity has identified various critical assets in form of The entity needs to establish a policy to check possible
groups and roles of people who take part in and the processes discrepancies between HR and LDAP databases. Firstly, in
that are involved such as shown in Fig. 2. The processes to order to define the policy the role in charge, login at the system
registration, assignment, and revoke user/passwords are well and automatically provides the available options: Register a
124
new policy or Check a KPI. In this case, a specific policy Analysis Daily
wants to be established and a web form is given to establish the Frequency
policy such as shown in Fig. 8. The form is prepared to pick up Reporting On demand of ISG team.
all the parameters required in the control. Once Send button Frequency
is clicked on all those values are stated in a database of
policies. This database is used as the basis to check the C. Monitor process
decision criteria of compliance or non-compliance during the Monitoring of KPI implies to include an imperceptible piece
registration process. of software (BonitaSoft connectors) in the processes that
allows collecting information during the execution of
Table 1: Example of KPI formalization processes. For instance, regarding the time of registration of a
KPI new, two timestamps are logged: the first check-point is
Name LDAP and HR database discrepancies released when a registration process is initiated, and the second
ID KPI-003 check-point is released when the user has received a response
Purpose To assess the quality of the authorized users from Human Resource (HR) Department and LDAP. This
Goal Check whether users registration process in the information is dumped in a database prepared for KPIs. On the
organization is conform to Control Objective A.9.2.6 in other hand, regarding the quality of passwords a validation
ISO 27001:2013 script is prepared to be performed through all users
Measurement Specification registration. An example of Groovy script is shown in the Fig.
Objects of 1. LDAP database 3. This piece of script shows a mechanism to write the log
Measurement 2. HR database registration time.
Attributes 1. Number of users in LDAP database
2. Number of users in HR database Long end = System.currentTimeMillis();
3. Id. of users that are not in LDAP database File file = new File("LogregisterTimes.log");
4. Id. of users that are not in HR database
FileWriter writer;
Basic measures 1. Registration in LDAP
2. Registration in HR writer = new FileWriter(file, false);
Method 1. Check for each entry in LDAP database whether it is
Long second = (end-start) / 1000;
contained in HR database.
2. Check for each entry in HR database whether it is writer.write(segundos.toString()+"\n");
writer.close();
contained in LDAP database.
Measurement type 1. Objective measure Figure 3. Example of Groovy script
2. Objective measure
Scale 1. Integer value
Another script enables to count the number of non-
2. Integer value
compliance against the compliance and stated this value
Scale type 1. Cardinal and text.
in the database of KPIs. The other KPIs are developed in
2. Cardinal and text.
the same way, that is by means of Groovy scripts where
timestamps are stated and queries to database are needed
Measure unit Amount of users and identifiers of users.
to check the required time of the registration process.
Indicator Specification and Reporting
Description a) Conformity Ratio D. Evaluate process
b) List of non-authorized users. The evaluation of KPIs can be carried out in two directions:
Analytical a) Divide the total number of users in LDAP database manually and automatically. Manually by means of the options
model by total users in HR. provided to the ISG within Direct process or a monthly report
b) Select the users that are in LDAP database but not is generated. As a result of the monitoring of processes a
in HR database. dashboard can be presented to the governance such as shown in
Incdicator a) Resulting ratio should be 1.0 to meet the control Fig. 4. In the bar chart we can observe the number of users
Interpretation objective satisfactory registered in LDAP (blue colour) and HR (yellow colour)
b) List should be empty for meeting the control database. In this example we can observe a non-compliance
objective satisfactory example which a discrepancy is shown due to one user that is
Reporting A dashboard with charts where the amount of users in HR database but is not registered in LDAP database. In that
Format registered in each database are represented and the list case the chart is showing. Therefore, the ISG can peek the
of id. of users that are in a LDAP database but not in compliance of policies in seconds at real-time.
HR database.
Reporting Client ISG Team
Collecting Each registration user
Frequency
125
KPI: LDAP and HR database discrepancies
Ratio = 0.91 [8] Rahul Rastogi, Rossouw von Solms: Information Security Governance:
A Re-Definition. IICIS 2004: 223-236, 2003
[9] Rossouw von Solms, S.H. (Basie) von Solms: Information Security
Ratio = 0.91 Governance: A model based on the DirectControl Cycle. Computers &
Security 25: 408412 2006.
[10] Howard Smith and Peter Fingar. Business Process Management (BPM):
The Third Wave. Meghan-Kiffer Press.
[11] Bonita Soft, Available at: http://www.bonitasoft.com, 2015.
[12] Business Motivation Model v1.1 OMG 2010
[13] ISO/IEC 27004:2009, Information technology. Security techniques.
Information security management Measurement.
LDAP HR
The next users are not in LDAP database:

user28
The next user are not in HR database:

user35
user42
Figure 4. Example of dashboard.
V. CONCLUSIONS AND FUTURE WORK

In any organization the importance of ISG is emerging as a
key factor in the assurance and protection of information. To
build on developments of information security practices,
research in effective governance processes that can be aligned
with these practices has been undertaken.
BPMS offers a framework which helps to assess and
implement this ISG component of information security. It was
analysed and applied to the identity management of users/roles
for the ISG/ISM in the development of R&D Projects in a
Research Group of a Spanish Foundation. This implementation
provides a framework of different processes to perform the
information security governance (evaluate, direct, monitor, and
communicate). These processes show the adequate integration
between governance and management of information security.
As future work, we propose to expand the scenarios for
ISG/ISM in order to achieve the same goals but collaborating
several enterprises or organizations
REFERENCES
[1] INCIBE, Available at:
https://www.osi.es/gl/actualidad/avisos/2011/10/sony-bloquea-93000-
cuentas-de-su-playstation-network, 2015.
[2] SIGMA DATA SECURITY CONSULTING S.L., Estudio sobre el
cumplimiento de la LOPD por la PYME Espaola, 2010.
[3] ISO/IEC 27001:2013, - Information security management.
[4] Rossouw von Solms, S.H. von Solms, Information Security Governance.
Springer, 2009.
[5] ISO/IEC 27014:2013, Information technology Security techniques
Governance of information security.
[6] COBIT 5 for security information. ISACA 2012
[7] Jacques Coertze, Rossouw von Solms: A software gateway to affordable
and effective Information Security Governance in SMMEs. ISSA 1-8,
2013.
126
APPENDICES
Figure 5. Registration process in the entity.
Figure 6. Log process of registration, modification and unregister of a user.
Figure 7. Direct Process for the ISG.
127
Figure 8. Example of web form to establish a password policy.
128
Evolving from a static toward a proactive and

dynamic risk-based defense strategy
Pilar Holgado , Manuel Gil Perez , Gregorio Martnez Perez , and Vctor A. Villagra
Departamento de Ingeniera Telematica, Universidad Politecnica de Madrid, 28040 Madrid, Spain
Departamento de Ingeniera de la Informacion y las Comunicaciones, University of Murcia, 30071 Murcia, Spain
Email: pilarholgado@dit.upm.es, mgilperez@um.es, gregorio@um.es, villagra@dit.upm.es
AbstractThe automatic prevention, detection, and reaction attack, in order to obtain as much information as possible from
for intrusion management has been a key issue for years, focusing each [3], [4]. RECLAMO is aimed at designing and creating
on the use of IDS-based approaches. In addition, dynamicity and an advanced Automated Intrusion Response System (AIRS) to
the changing nature of the technology and threats have led to
consider other approaches. In this paper, we present two R&D enhance the current attack detection and reaction proposals.
projects whose purposes are addressing the above shortcomings. Self-protection is the key concept driving the components of
First, we present the RECLAMO project, where an architecture RECLAMO, providing a way of inferring the most appropriate
for an Automated Intrusion Response System is proposed to response for a given intrusion, taking into account not just the
divert a given attack to a honeynet, dynamically built based intrusion, but also other related parameters, such as the context
on the attack information. Secondly, we also describe an ongoing
R&D project, called DHARMA, where an efficient Dynamic Risk and the confidence on the network sources. This information
Assessment and Management is proposed to measure the risk is evaluated with a set of security metrics represented in a
level on the organizations assets at real time, taking the required formally defined behavior specification language, in order to
actions as a response from a proactive defense model. reason and to infer the most appropriate response.
As stated before, dynamicity and heterogeneity is key for
I. I NTRODUCTION
making automated management of intrusions a reality. As a
Automatic prevention, detection and reaction systems for second contribution, we propose an efficient Dynamic Risk
intrusion management is a key topic in the last few years [1]. Assessment and Management (DRAM), which is part of a
Yet, most of the solutions have a narrow scope and certain project called DHARMA (Dynamic Heterogeneous threAts
difficulties and limitations when dealing with large scale and Risk Management and Assessment) [5]. This is a multilevel
distributed attacks like coordinated spam, phishing attacks or architecture with a large number of heterogeneous sensors
DDoS [2]. To this end, concepts like autonomic system, trust capturing changes in the organization context. The DHARMA
and reputation management, collaborative intrusion detection framework enables to deploy specific sensors, integrating their
and prevention systems, virtualized honeynets, and semantic information in a DRAM engine that will provide updated
web should be part of novel IDS/IPS systems. information on the risk levels to allow a quick reaction and
Despite the progress in intrusion management, dynamicity minimizing the exposure time to potential risky situations for
and heterogeneity should consider other alternatives that take the organization. As a possible reaction of the DRAM is taking
into account input from a large pool of heterogeneous sensors into account the AIRS proposed in RECLAMO.
and contextual changes in the organization, beyond traditional
network attacks. In this context, new dynamic risk assessment B. Organization of the paper
and management processes have emerged to provide an answer Section II presents the novel automated response system to
to this shortcoming, allowing the current solutions to acquire a attacks developed in the RECLAMO project, where a special
dynamic assessment of the risk of the organizational assets and emphasis is placed upon deception responses according to the
the continuous evolution of threats. A dynamic risk assessment dynamic honeynets generated on virtualized platforms. We
and management allow updating the risk level on the assets of describe in Section III a framework for achieving an efficient
an organization at real time, as well as dealing with dynamicity DRAM, which is the main aim of an ongoing project called
and the changing nature of the technology and threats. DHARMA. Finally, Section IV summarizes our contributions.
A. Our contributions II. V IRTUAL HONEYNETS WHERE DIVERTING ATTACKS

As a first contribution, we propose an approach to intrusion The main objective of RECLAMO [4] is the application
response, building and deploying honeynets where the attacks of novel approaches for reacting to attacks, by means of
will be diverted. This is a result of the RECLAMO (Virtual and defining, developing, and validating an intelligent AIRS able
Collaborative Honeynets based on Trust Management and Au- to conduct new and advanced reactions [6]. A special focus is
tonomous Systems applied to Intrusion Management) project, taken on the so-called deception-based responses: diverting
where honeynets are created ad-hoc and optimized for each attacks to dynamically ad-hoc generated honeynets for being
129
adequately confined to mitigate them and learn from them. Self-healing. The system is able to detect when, where,
Thus, an intrusion is analyzed in real time by using a model and why there are faults in the system, and carry out the
of intrusions, responses, and security metrics that are formally appropriate fault-correction actions.
defined with knowledge and behavior definition languages. Self-protection. The system detects hostile or intrusive
Fig. 1 illustrates the main functional blocks of RECLAMO, behavior, such as unauthorized access attempts, virus, and
which are described next in the following subsections. denial of service attacks, and implements the appropriate
actions to protect itself from them or cascading failures.
Autonomous Collaborative intrusion As shown in the previous definitions, the main feature of an
systems detection networks autonomous system is the ability to specify their own behavior,
Ontologies and formal in order to manage and protect itself and dynamically adapt
Self-protecting Multi-step
systems
behavior definition
attacks to different conditions. The concept of self-protection, which
languages the most important of any autonomous system, is the main
Virtualization of Trust and reputation component of the RECLAMO system, providing the ability
reactive networks management to infer the most appropriate response for a given intrusion.
This takes into account not just the intrusion, but also many
Fig. 1. Main functional blocks proposed in the RECLAMO project other related parameters, such as the context or the trust and
reputation of the network source. This autonomous system
The components belonging to each block defined in Fig. 1
uses formally defined information models with ontologies for
are included within an envisaged architecture for RECLAMO,
combining the intrusion information. Furthermore, it considers
which are depicted in Fig. 2.
additional concepts such as self-evaluation learned parameters,
trust and reputation of the different involved elements, and
IDS Trust & information coming from collaborative IDS/IPS systems in the
Metrics
Parser
Reputation
alerts
same or different administrative domains.

..
IDS Ontology Evaluation &

There are several ontology languages, such as Ontolingua,
Learning KIF, OCML, OKBC, and F-Login, before the semantic web;
formatted alerts
and RDF, RDFS, DAML+OIL, OWL, and OWL2. The main
Network and ontology languages used in semantic web to formally describe
REASONER
System Context
Preventive information definitions are OWL and OWL2 [8]. Moreover,
context IRSA Passive OWL is a knowledge definition language that structures the
CIDNA Active information into classes and properties, with hierarchies, and
responses
alerts & range and domain restrictions. However, the ability of OWL
CIDNB attacks to define behavior into defined information is limited, so it is
... Other Virtual
Honeynets necessary to use additional rule languages like SWRL. This is
CIDNs
CIDNX Deployment the most widely used rule definition language, which extends
the set of the OWL axioms by defining logical restrictions [9].
Fig. 2. System architecture of RECLAMO In RECLAMO, we use OWL and a set of SWRL rules.
Ontologies are the main semantic information model used
As seen, concepts like autonomous system, ontologies, trust within the scope of Semantic Web, Knowledge Management,
and reputation management, collaborative intrusion detection and Artificial Intelligence. It formally represents a set of
and prevention networks, self-protection as well as virtualized concepts, their meaning, and interrelation between them [10].
honeynets are clearly identified in Fig. 2. All of these concepts Initially, the propose of ontologies was to allow different and
are considered as a key part of the novel automated response heterogeneous agents to share and reuse knowledge.
system to attacks proposed in RECLAMO. It is worth pointing One of the main advantages when using ontologies is the
out that all the related software of RECLAMO, regarding the formalization of the information semantics. This is important
components shown in Fig. 2, is publicly available at [4]. when dealing with heterogeneous information sources that can
represent the same resource with different format and syntax.
A. Autonomous systems applied to intrusion management
Another great advantage of using ontologies are the tools
Autonomous computing systems are systems capable of to define information and behavior, improving the usage of
managing themselves and dynamically adapting to changes, ontologies and rule languages in several environments.
according to business rules and the objectives given by the As a first task, it is required to design a formal definition
system administrators. An autonomous computing system, or about vulnerabilities, attacks, and response actions based on
self-management system, has the following functions [7]. different taxonomies. These ontologies define a subset of
Self-configuration. The system is able to immediately vulnerabilities, attacks, and responses and allow specifying
adapt to the deployment of new components or changes the behavior of the autonomous system when an intrusion
in the environment and configure itself automatically, is detected. So that, the system can reason and infer new
without human intervention. knowledge from different inputs.
130
Network IRS
Stakhanovas
The AIRS is able to understand heterogeneous alerts and
IDAM&IRS
EMERALD
ADEPTS
to know whether they are referring to the same intrusion
AAIRS
or not. Nowadays, there are several data format standards
FAIR
CSM
for alerts representation, such as IDMEF (Intrusion Detection

Message Exchange Format) [11]. This is defined in XML to Adaptive

represent, exchange, and share the information about intrusion Proactive
detection, but with no additional knowledge representation.
Cost-sensitive
IDMEF can be useful for the AIRS in order to correlate alert Evaluated cost S S S S D
information with other additional data, such as network context Semantic coherence
and rules. RECLAMO uses ontology mapping technologies,
such as D2RQ [12], which allows mapping between relational TABLE I
F UNCTIONALITIES OF EXISTING AIRS
databases and OWL/RDFS ontologies.
B. Autonomous intrusion response systems: Self-protecting
AIRSs are security technologies to trigger dynamic reaction coherence by using ontologies, formal behavior specification
against detected intrusions. The system infers the mot suitable languages, and reasoning mechanisms, as well as fulfilling the
response and triggers it automatically without participating an rest of requirements. Moreover, our system includes a formal
administrator. The state of the art in AIRSs is not as mature mechanism to evaluate the cost of responses, giving feedback
as with IDSs, although several systems have been proposed to the system for improving responses in future attacks.
in recent years: AAIRS, ADEPTS, EMERALD, CSM, FAIR, The use of ontologies and formal languages, so as to define
and IDAM&IRS. For example, Stakhanova presented in [13] a the behavior of the autonomous system, is essential to provide
taxonomy of autonomous intrusion response systems, together AIRSs with the self-protection capability, and so fixing the
with a review of current trends in intrusion response research. problem of semantic coherence. Due to its expressiveness and
According to this paper, AIRSs can be classified in different flexibility, they also enable AIRSs to meet other requirements:
ways according to various features: adaptability, proactivity, and response cost-sensitive.
By ability to adjust: static and adaptive. The response Another key feature to take into account is the cooperation
selection mechanism remains the same during the life capability: autonomous and cooperative. Network-based IRSs
of the AIRS in static AIRSs. Adaptability is a powerful are often built in such a cooperative way, because they provide
feature that can automatically modify the chosen response more effective responses than single and autonomous systems.
according to other external factors, like the previous An example of it is EMERALD. Due to this, the RECLAMO
response effectiveness or changes in the environment. project follows the cooperative way.
By response selection mechanism: static, dynamic, and Finally, the autonomous response system is combined with
cost-sensitive mapping. There is an increasing interest other technologies, e.g, the correlation of the alerts, as well
in recent years in developing cost-sensitive models for as further information such as the trust and reputation of the
response selection. The primary objective of these models IDSs together with their network context [14]. Therefore, the
is to ensure an adequate response without sacrificing the response system of RECLAMO is capable of detecting attacks
normal system functionality. That is to say, the system in a given organization, and reacting against them quickly in
takes into account the complexity and cost of the reaction, an autonomous and optimal way, with no intervention from
besides the impact of the intrusion. network administrators. The reaction includes the inference of
By time of response: proactive and delayed. Proactivity the optimal response in a diagnosis phase, and the deployment
is the ability of the AIRS to react against an intrusion or of that response in a reaction phase.
attack before it takes place. A reactive AIRS infers and
activates the reaction when the intrusion is detected. C. Collaborative intrusion detection systems
By response cost model: static, static evaluated (S), and Collaborative intrusion detection systems (CIDS) emerged
dynamic evaluated cost (D). This refers to the evaluation in recent years to deal with detecting distributed attacks, where
mechanism that the AIRS uses to get the response cost. pieces of evidence are gathered at different network locations
To achieve an optimal response in the shortest time, it is to be subsequently correlated. This distributed nature of attack
required that the AIRS is adaptive, cost-sensitive mapping, and execution is due to the way in which attackers perform their
proactive. But there is another feature, the semantic coherence, malicious practices, evolving toward a new mode of operation
that is not present in this taxonomy and it is especially crucial more global and distributed. In case a collaborative strategy is
in a heterogeneous intrusion detection environment. not used, alerts generated by the IDSs are viewed as isolated
In TABLE I, we show the features of some related AIRSs, incidents, with no relevance when analyzed separately [2].
where only ADEPTS and the Stakhanovas IRS offer adaptive, Due to this, alerts should be treated as a whole from a more
proactive, and cost-sensitive functionalities. However, none of global viewpoint for knowing the actual state of the network,
them provides mechanisms to archive semantic coherence. Due by detecting distributed attacks after deploying multiple IDS
to this, the AIRS proposed by RECLAMO supports semantic instances among security domains. A partnership of all IDSs
131
will form an overlay layer for sharing security data among Let us suppose that a given IDS j wants to share a new alert
peers: alerts and incidents detected by each IDS individually. with the rest of the CIDN members for correlation purposes.
This cooperative system is a Collaborative Intrusion Detection This IDS sends the alert to the WC for being assessed before
Network (CIDN) that allows building a collective knowledge its publication to the rest of IDSs. The WC members compute
base of isolated alerts within a given security domain [15], the js reputation, Rep(j), to decide if the alert is a true
whereas the union of several CIDNs shapes a Collaborative or false positive depending on that reputation score. To this
Alert System (CAS) to detect attacks more distributed among end, the WCL only queries recommendations to those IDSs
several security and/or administrative domains. with similar detection skills than j; otherwise, the IDSs could
Where to place the pool of IDSs is a key point for sharing not know the satisfaction on the alerts detected by j. These
alerts properly among them. A survey on how the IDSs can recommendations will be finally aggregated and shared by the
be distributed is given in [2], which is focused on centralized, WCL with the rest of the WC members, where each W Ci will
decentralized, and distributed architectures. Instead, we think assess its trust on j, TW Ci (j) [0, 1], as given in (1).
that a partially-decentralized approach is the best placement
model to tackle the drawbacks implicit in the other. Partially- |IDS|
decentralized schemes address the problems of having a single M
TW Ci (j) = i,k Repi (k) Reck (j) (1)
point of failure and the lack of scalability, from centralized
k = 1,
approaches; and the overhead and management difficulty, from k 6= i
decentralized and distributed schemes. A schematic example L
where |IDS| is the total number of IDSs in the CIDN;
of the system architecture of RECLAMO is shown in Fig. 3,
defines an aggregation operation chosen by the administrator;
which is based on a partially-decentralized scheme.
Repi (k) [0, 1] is the reputation of k from the perspective
of W Ci ; Reck (j) [0, 1] defines the recommendation value
CAS CIDNY
IDS gathered from k on j; 1 represents the pace at which W Ci
IRSY alerts forgets recommendations; and i,k [0, 1] is the weight
..
Wise Committee
IDS that W Ci can deposit on the type of IDS that k represents.
WCLA ... WCLY ... For example, i,k may be divided into separate three weights
IDS
according to the ks group: i for NIDSs, i for HIDSs, and
alerts IRSA alerts &
..
Administrative i for the WCs NIDSs, with i + i + i = 1.

attacks
IDS Domain 2
CIDNA The recommendation element is a key factor to assess alert
WCLX ... satisfaction. The recommendation of IDS k on IDS j at a
Administrative IDS
Domain 1 given time t is computed by (2), taking into consideration the
IRSX alerts
..
previous recommendation values already computed by k.

CIDNX IDS
(t) (t1) (t)
Reck (j) = k Reck (j) + (1 k ) Satk (j) (2)
Fig. 3. Partially-decentralized scheme of a CAS
where k [0, 1] is the weight to previous recommendation
values and Satk (j) [0, 1] represents the satisfaction of IDS
This partially-decentralized scheme is built with the help
k on the alert published by j, according to the configurations
of a pool of supernodes (or superpeers) that act as the heads
declared by IDSs k and j in their bootstrapping phase. Satk (j)
of their security domain, thereby shaping a Wise Committee
may vary by several factors, depending on whether k has direct
(WC), one per CIDN. They are in charge of assessing the
or indirect evidences about the alerts published by j.
alerts generated by the IDSs before being finally shared with
The configuration of both IDSs comes into play to determine
the rest of the CIDNs IDSs (intra-domain knowledge base) or
possible evidences in assessing alert satisfaction. First, if both
other administrative domains at the CAS level (inter-domain
IDSs are deployed in the same network, the alert shared by j
knowledge base) [16]. Sharing the internal knowledge base of
would also have been produced by k, provided that the they are
alerts of a CIDN with other CIDNs is carried out by the most
implementing similar detection skills. In case k has produced
trustworthy IDS of the CIDN, called WC Leader (WCL).
an alert to warn the same incident, the satisfaction of k on j
would be the highest according to the js reputation (from the
D. Trust and reputation management
perspective of k) and the alert severity.
CIDSs assume that the IDSs cooperate each other honestly Secondly, when the two IDSs are deployed in the same
to correlate security incidents: alerting when a threat occurs or network, but with different configurations in detection, k has to
not alerting when the system is safe. However, honesty may infer the detection skills that j used to produce the alert when
produce a misleading perception on the security state in case the former did not generate it. To this end, IDS k can base
the IDSs exhibit a malicious behavior, reporting bogus alerts to its decision on the detection skills of other IDSs in its same
provoke errors to other IDSs. Identifying malicious attitudes network and their attitude with respect to the alert produced
can be achieved by using trust and reputation mechanisms, by j (indirect experience-based approach). Specifically, k can
with which to model the behavior of the IDSs [17]. follow a majority-based voting scheme, taking into account
132
both the configurations implemented by the other IDSs that but they are fixed and cannot be dynamically chosen (i.e., the
detected or not the same incident than j, in comparison with AIRS always uses the same metric, regardless of the intrusion
the configuration of k, and the reputation score of each. context or the state of the system).
Finally, when both IDSs are deployed in separate networks, We defined in RECLAMO a pool of response metrics for
there is no actual obligation on k to alert about the incident modeling and specifying the behavior of the AIRS [19]. The
detected by j. Yet, it is possible that k had to detect it in case knowledge included in the ontology allows inferring the most
a number of its neighbors in this same network did detect it. In appropriate response set for different events. Such metrics are
this case, IDS k should only compute the new recommendation defined by using a formal language of behavior specification,
value of IDS j as defined in (2). so the complete AIRS behavior is defined formally. Their
As final step to compute Rep(j), the reputation on IDS j is specification in a flexible and dynamic way requires the use
computed by aggregating all partial trust values given by (1), of a specific language able to express these metrics. We use
calculated by every W Ci . This aggregation process is carried SWRL as a formal language to express them.
out by the WCL through computing (3). The following parameters have been identified as the most
|W C|
relevant ones for inferring the optimum response: the intrusion
M impact, the IDSs confidence, the importance of the affected
Rep(j) = TW Ci,j (3)
i=1
resources, the severity and cost of the response, and its success.
Regarding the relevance that the compromised resource has for
Depending on the js reputation score, denoted as Rep(j) the organization, the AIRS assigns more or less weight to each
in (3), the alerts shared by j are finally published by the of these parameters. For example, consider that the affected
WC to the rest of IDSs of the js CIDN. Furthermore, the resource is a user workstation. The response cost may take
WCL will send these alerts to other WCLs of the CAS if the priority over its success rate. However, if the attacked resource
alerts severity denotes a potential evidence of a distributed is a database server, the AIRS may give more importance to
attack, determined by the severity of such alerts. Information the response severity and the response effectiveness than the
sharing in a distributed environment requires another trust and high cost of executing the response.
reputation mechanism aimed to work at an inter-domain level. In order to choose the responses, three response metrics
In this context, the WC that receives an alert from another have been taken into account in RECLAMO, which are next
domain has to assess the reputation of the latter in order to presented. Each metric assigns a weight to the parameters in
decide whether to accept or not the alert and share it with a different way. Depending on the level of importance of the
its members. For this purpose, we adapt the application of a resource, the system applies one metric or another.
well-known trust model such as PeerTrust [18]. 1) Damage reduction metric: The purpose of this metric
PeerTrust is a reputation-based trust supporting framework is to strike a balance between the cost of the damage caused
that includes a coherent adaptive trust model for quantifying by an unattended attack (the intrusion impact) and the cost
and comparing the trustworthiness of the entities according to of deploying the response (the response impact). This metric
a transaction-based feedback system. Thus, it fits well for an aims to avoid that the response has a greater negative effect
inter-domain reputation mechanism. PeerTrust introduces three than can cause the attack on the resources of an organization
basic trust parameters and two adaptive factors in computing (e.g., loss of availability of several resources). The AIRS uses
trustworthiness of entities, as given by: this metric regardless of the component importance. Note that
I()
X this metric is equivalent to the one defined by Stakhanova.
T () = S(, i) Cr(p(, i)) T F (, i) + CF () The application of this metric infers the responses, whose
i=1 impact is lower than or equal to the product of the intrusion
where and denote the normalized weight factors for impact and the IDS confidence, as defined in (4).
both the collective evaluation and community context factor, Impactintrusion Conf idenceIDS > Impactresponse (4)
respectively; I() represents the total number of transactions
Then, the AIRS discards the responses whose impact is
performed by with other domains; S(, i) is the normalized
greater than the intrusion impact. Note that his metric depends
amount of satisfaction that receives from p(, i) in its i-th
on three parameters: the intrusion impact, the IDS confidence,
transaction; Cr(p(, i)) denotes the credibility of the feedback
and the response impact. The AIRS does not compute these
submitted by other domains; T F (, i) represents the adaptive
parameters at inference time. They correspond to the properties
transaction context factor for the i-th transaction of ; and
of the defined ontology, and their values are input to the
CF () is the adaptive community context factor for .
response system which must have previously defined.
E. Definition of security metrics and behavior of the system 2) Minimum cost metric: The AIRS applies the minimum
cost metric when the affected component is not very relevant
Existing AIRSs make use of several fixed response metrics
for the organization. The purpose with this metric is thus to
to choose the action that the system must execute, such as
minimize the response total cost, as given by (5), so that the
the ones used by AAIRS, ADEPTS, CSM, EMERALD, the
AIRS will trigger the execution of the lower cost response.
Stakhanovas IRS, FAIR, and IDAM&IRS. All the response
metrics allow the AIRS to choose the reaction that may trigger, CostT response = Impactresponse + Costd response (5)
133
The response total cost includes the response impact and Given the complexity involved in launching a honeynet,
the response deployment cost. The former, Impactresponse , the virtualization techniques are an essential tool that greatly
represents the cost that executing the response involves to facilitates its deployment and management. These tools can
the organization, in terms of the damage that the response create multiple logical systems with a single physical machine,
action causes to the resources of the organization. The latter, thereby drastically reducing the number of physical systems
Costd response, represents the cost that the deployment of the required so as to create a honeynet. These honeynets are built
response involves to the organization, in terms of the required ad-hoc and optimized in order to get as much information as
resources (e.g., number of the needed routers or the number possible from each attack. This dynamic honeynet generation
of backups). The lower cost responses are usually the lower uses advanced virtualization techniques capable of generating
complexity responses. Thus, if several responses have the same large scale heterogeneous honeynets.
cost, the AIRS will select the lower complexity response. Virtualization tools facilitate the definition of the honeynets,
3) Highest severity and highest efficiency metric: When including their topology, addresses, system type, deployment,
the compromised resource is critical, the response system and monitoring. So, they hide the complexity of the underlying
uses the highest severity and efficiency metric, whose purpose virtualization platforms to the final system. Among these tools
is to maximize the response severity and the success. This available in the market, we can find VNX, VNUML, Netkit,
metric depends on the results of the previous executions of the MLN, and vBET. In RECLAMO, we chose Honeyd and VNX
specific response against a given similar intrusion, the severity as the frameworks able to deploy low-interaction honeypots
associated with the intrusion, and the severity of the response and high-interaction honeypots [21]. VNX includes the ability
itself. Thus, the purpose is to satisfy (6) and maximize (7). of deploying a virtual network scenario over cluster of servers,
improving the scalability of the solution and also allowing
RE |Severityresponse | > Severityintrusion (6) the creation of very complex honeynets, even over distributed
max (RE |Severityresponse |) (7) cluster infrastructures [22].
There are several projects and initiatives that have made use
As shown in (6) and (7), the metric depends on: of virtualization as a basic tool with which to dynamically
Intrusion severity, Severityintrusion . The AIRS gets the create honeynets. One of the most advanced is Collapsar [23],
intrusion severity according to some of the predefined which combines a powerful distributed traffic capture system
equivalences between intrusion type and severity. with a server farm, where the interesting traffic is redirected
Response absolute severity, |Severityresponse |, whose to dynamically create honeynets that process it.
value is previously set by the system administrator. The dynamic generation of the honeynets require a previous
Response efficiency, RE. It measures the success of the characterization and parametrization of different honeynets.
previous response against an intrusion. Partial efficiency The objective is to generate a large and flexible catalog of
of the response is calculated after each execution of it, honeynets for being used by the AIRS. Each of these honeynets
which is based on machine learning methods [20]. These can be tuned at deployment time for its customization with the
methods analyze all the data captured from the context aim of facing specific attacks. This is a key feature since it
information (network and system context). provides flexibility to the system, which allows executing the
traditional scenarios with static honeynets as well as advanced
F. Virtualized honeynets as a response system scenarios built for the autonomous system dynamically.
The reaction phase comes after the diagnosis is completed.
Classical reactions typically consist on deploying new firewall III. T OWARD THE DYNAMICITY FOR RISK ASSESSMENT
rules, whereas most recent AIRSs also offer new possibilities AND MANAGEMENT
to react against attacks; for example, by creating honeynets. The RECLAMO project presented in Section II is capable of
These honeynets can be specifically adapted to the detected reacting to a given input (an intrusion), and getting additional
attack. In this context, the RECLAMO project proposes a context and collaborative information with the aim of inferring
reaction based on the configuration and automatic deployment the most appropriate response. But this approach is static and
of honeynets, which are optimized and adapted to each attack reactive: reacting when there is an intrusion and processing the
according to the specifications provided by the AIRS. context information acquired in that given moment. Thus, the
A honeynet is defined as a set of honeypot systems (servers, architecture proposed in RECLAMO (Fig. 2) can be enhanced
routers, switches) prepared to be attacked, while monitoring with a dynamic and proactive approach, this being the main
the attack simultaneously. A honeypot can have low- or high- objective of the DHARMA (Dynamic Heterogeneous threAts
interaction. As opposite to the low-interaction honeypots that Risk Management and Assessment) project [5].
just emulate operating systems and services, high-interaction DHARMA becomes possible to separate the concepts of
honeypots provide real systems, application, and services to dynamic risk assessment and the consequences after assessing
lure attackers. A honeynet can consist of high-interaction or that risk. This latter can be an automated response triggering,
low-interaction honeypots, or both of them. A honeynet creates like the one proposed in RECLAMO, or any other output, such
a highly controlled network, with which the administrators can as dynamic risk visualization in a control panel, updating of
control and monitor all the activity that occurs inside it. risk assessment methodologies or proactive actions.
134
The major difference between these projects is that the B. Distributed and dynamic risk assessment and management
main input in RECLAMO is the intrusion, being the context Risk assessment and management (RA/RM) is a common
processed just to enrich the inference process for it, whereas and extended practice used in the most of large corporations to
the intrusion in DHARMA is just another input, and context identify, analyze, and either accept or apply countermeasures
changes play a principal role for a dynamic risk assessment. to mitigate the risk expected likelihood of unfortunate events
So, there will be a constant evaluation of the heterogeneous and the impact of these events on the assets of the organization.
context parameters in order to assess any change in the risk A lot of mature methodologies, techniques, standards, and
level, as stated by the organization. The main components of have been specified, developed, and implemented till the date,
DHARMA are detailed in the next sections, which are defined such as MAGERIT, ISO 27005:2011, OCTAVE, CRAMM,
within the envisaged architecture shown in Fig. 4. EBIOS, NIST SP800-30, COBRA, and RA2, among others.
They have been widely evaluated and tested using well defined
Physical security sensors Smart Cities sensors metrics as well as benchmarking schemes.
But now, with the current dynamicity and heterogeneity of
(updates)
ICT security sensors

DDRA Inputs Human and social sensors
the security threats area, there is a large need for dynamic risk
Organization Countermeasures
policies
assessment and management processes that allow systems to

Input layer Inputs collection generic interface
update the level of risk at real time, as well as dealing with

Obligation enforcement
Sensor reconfiguration
Specific interfaces for specific sensors
Data processing and data mining the dynamicity and ever changing nature of the technology
Collaborative Risk Management
Processing and Analysis layer
Threats and
Vulnerabilities Detection
Context-aware
Security and Privacy
Trust and Sensitivity
Management and threats. The traditional approaches of risk management
Evaluation & Proactive Defence
External
and assessment do not cover this need because it is not a
Learning
continuous process, but the assessment process is repeated
Risk Assessment External
External
HMM Rules DDRA Engine DDRAs
External
DDRAs
Metrics DDRAs
DDRAs
Ontology
regularly over discrete and large time intervals. Although these
DDRA controller
intervals were smaller, they leave a window of opportunity
where assets could be affected.
Risk Treatment layer
Risk treatment interface
Social Image Other dynamic

Real-time Risk
Visualization
PILAR A new approach, known as Dynamic Risk Assessment and
RECLAMO
AIRS Promotion response mechanisms Sensor reconfiguration
Obligation enforcement
Management (DRA/DRM), seems to be the solution to the
new need and its aim is to continuously update the risk of any
Fig. 4. Technical architecture of DHARMA proposal changes happening in the organization: changes in threats, new
vulnerabilities, new countermeasures or modification of assets.
In the scope of dynamic frameworks for risk assessment and
A. Heterogeneous information monitoring mechanisms
management, some efforts have been done, but none of the
The inclusion of new information from different sources is a proposed work is sufficiently mature, and the usage of new
key feature for the risk analysis process, which must take into sensors of different nature (such as environmental sensors) as
account the parameters involved in this process as well as those inputs to the risk analysis could improve the accuracy and
already used in traditional risk analysis such as assets, threats, efficiency of the management process.
vulnerabilities, and countermeasures. These new sources are The DHARMA architecture, depicted in Fig. 4, relies on
grouped into four main set of sensors: physical security, ICT the design and integration on different heterogeneous sensors
security, Smart Cities, and human and social sensors. All these that continuously monitor different sources that might trigger
sensors are represented in the top layer of Fig. 4. a potential threat to the organization. All these sensors are
The management of the heterogeneous information allows not limited to the traditional ICT security incidents, but also
correlating and processing information from multiple and to many other sources: environmental sensor (threats coming
distributed sources, through data mining techniques, in order from changes in temperature, humidity, etc.), physical sensor
to detect any alteration in the monitored parameters as well as (threats coming from physical presence and/or recognition),
find out malicious attempts on assets. As a consequence, the vulnerabilities sensor (threats coming from new vulnerabilities
dynamic risk assessment controller will capable of taking the that might affect the organization assets), and also sensors
required actions as a response from a proactive defense model, trying to evaluate potential threats to the organization raised
by using algorithms of machine learning such as neuronal from the social networks activity (social networks sensor) or
networks and Hidden Markov Models. even from the own organization employees (human resources
Sharing information between sensors and the (distributed) sensor that tries to evaluate the level of labor disputes and
dynamic risk assessment controller also requires the definition conflicts in the organizations). The continuous monitoring of
of trust and sensitivity management models, similarly to the these highly dynamic context parameters is the key for an
one presented in Section II-D. They have to quantify the actual accurate dynamic risk assessment methodology.
threat level on the assets, according to the trustworthiness
of the subjects accessing to the assets (threat grows up as C. Deployment and enforcement of dynamic countermeasures
the subjects trust score decreases) and the sensitivity of the The results of the risk analysis process can be treated
resources, e.g., personal data, contained in the asset (threat from different approaches: passive, preventive or proactive,
grows up as the assets sensitivity level increases). reactive, and collaborative. The deployment and enforcement
135
of response actions, when needed, requires the definition of [3] M. Gil Perez, V. Mateos Lanchas, D. Fernandez Cambronero, G.
mechanisms with which to treat the computed impact and Martnez Perez, and V. A. Villagra, RECLAMO: Virtual and collabo-
rative honeynets based on trust management and autonomous systems
risk. They can incorporate the definition of interfaces to the applied to intrusion management, in Proceedings of the 7th Inter-
existing AIRSs, such as the one presented in Section II; national Conference on Complex, Intelligent, and Software Intensive
the deployment of social image promotion actions to revert Systems, Jul. 2013, pp. 219227.
[4] Universidad Politecnica de Madrid and Universidad de Murcia, Web
possible harms in the market on the organizations corporate site of the RECLAMO project, [Online] http://reclamo.inf.um.es.
image after being victim of a threat; and certain mechanisms [5] Universidad Politecnica de Madrid and Universidad de Murcia, Web
enabling the reconfiguration of sensors as needed to maximize site of the DHARMA project, [Online] http://dharma.inf.um.es.
[6] V. A. Villagra Gonzalez and G. Martnez Perez, RECLAMO: Red
the information gain [24], depending on the feedback provided de sistemas de engano virtuales y colaborativos basados en sistemas
by the distributed dynamic risk assessment controller. In the autonomos de respuesta a intrusiones y modelos de confianza, Revista
former case, the deployment of dynamic countermeasures SiC: Ciberseguridad, Seguridad de la Informacion y Privacidad, no.
111, pp. 6465, Sep. 2014.
as response actions in protecting assets allows inferring the [7] F. T. M. Bazier, J. O. Kephart, H. Van Dyke Parunak, and M. N. Huhns,
optimum reaction as a defense strategy, diverting the attack to Agents and service-oriented computing for autonomic computing,
a honeynet where to mitigate it and learn from it. IEEE Internet Computing, vol. 13, no. 3, pp. 8287, Jun. 2009.
[8] W3C Recommendation, OWL 2 Web ontology language document
The deployment and enforcement of countermeasures, with overview (2nd edition), Dec. 2012.
the aim of protecting the assets according to the current risk [9] W3C Member Submission, SWRL: A semantic web rule language
level, is shown in the lower layer of Fig. 4. combining OWL and RuleML, May 2004.
[10] S. Staab and R. Studer, Handbook on ontologies. Springer Science &
IV. C ONCLUSION Business Media, 2013.
[11] H. Debar, D. A. Curry, and B. S. Feinstein, The intrusion detection
We have reviewed throughout this paper the main objectives message exchange format (IDMEF), IETF RFC 4765, Mar. 2007.
and relevant topics of two R&D projects. First, the RECLAMO [12] R. Cyganiak, C. Bizer, J. Garbers, O. Maresch, and C. Becker, The
D2RQ mapping language, [Online] http://d2rq.org/d2rq-language.
project deals with important key technologies like autonomous [13] N. Stakhanova, S. Basu, and J. Wong, A taxonomy of intrusion response
systems and trust and reputation management, and combine systems, International Journal of Information and Computer Security,
them in a single solution to provide an automated response vol. 1, no. 1/2, pp. 169184, Feb. 2007.
[14] J. J. Martnez Molina, M. A. Hernandez Ruz, M. Gil Perez, G. Martnez
system to attacks. As a promising response for RECLAMO, Perez, and A. F. Gomez Skarmeta, Event-driven architecture based on
we developed the dynamic generation and deployment of patterns for detecting complex attacks, International Journal of Critical
honeynets where the attacks are diverted for isolation. Computer-Based Systems, vol. 1, no. 4, pp. 283309, Nov. 2010.
[15] C. Fung, Design and management of collaborative intrusion detection
The proposal of RECLAMO has been extended to manage networks, Ph.D. dissertation, University of Waterloo, Canada, 2013.
the current dynamicity and heterogeneity present in current [16] M. Gil Perez, F. Gomez Marmol, G. Martnez Perez, and A. F. Skarmeta
systems, due to the large number of heterogeneous sensors, Gomez, RepCIDN: A reputation-based collaborative intrusion detection
network to lessen the impact of malicious alarms, Journal of Network
reporting threats who exploit vulnerabilities on the assets, and and Systems Management, vol. 21, no. 1, pp. 128167, Mar. 2013.
contextual changes in the organization. This new challenge is [17] M. Gil Perez, F. Gomez Marmol, G. Martnez Perez, and A. F. Skarmeta
being addressed in an ongoing R&D project called DHARMA. Gomez, Building a reputation-based bootstrapping mechanism for
newcomers in collaborative alert systems, Journal of Computer and
Its main goal is to provide assistance for dynamic assessment System Sciences, vol. 80, no. 3, pp. 571590, May 2014.
and management of the risk, and dynamically reassessed it [18] L. Xiong and L. Liu, PeerTrust: Supporting reputation-based trust for
in real time in order to prevent, react, and mitigate potential peer-to-peer electronic communities, IEEE Transactions on Knowledge
and Data Engineering, vol. 16, pp. 843857, Jul. 2004.
threats on sensitive assets of an organization. [19] V. Mateos Lanchas, V. A. Villagra, F. Romero, and J. Berrocal, Def-
inition of response metrics for an ontology-based automated intrusion
ACKNOWLEDGMENT response systems, Computers & Electrical Engineering, vol. 38, no. 5,
This work has been partially funded with the support pp. 11021114, Sep. 2012.
[20] P. Holgado, V. A. Villagra, and V. Mateos Lanchas, Redes neuronales
from the Spanish MICINN (project RECLAMO, Virtual aplicadas al proceso de aprendizaje de un sistema de respuestas a
and Collaborative Honeynets based on Trust Management intrusiones automatico, in XI Jornadas de Ingeniera Telematica, Oct.
and Autonomous Systems applied to Intrusion Management, 2013, pp. 419426.
[21] F. Wenjun, D. Fernandez, and V. Villagra, Tecnology independent
with codes TIN2011-28287-C02-01 and TIN2011-28287-C02- honeynet description language, in Proceedings of the 3rd International
02, and project DHARMA, Dynamic Heterogeneous Threats Conference on Model-Driven Engineering and Software Development,
Risk Management and Assessment, with codes TIN2014- Feb. 2015, pp. 303311.
[22] F. Galan, D. Fernandez, J. E. Lopez de Vergara, and R. Casellas,
59023-C2-1-R and TIN2014-59023-C2-2-R) and the European Using a model-driven architecture for technology-independent scenario
Commission (FEDER/ERDF). Thanks also to the Funding configuration in networking testbeds, IEEE Communications Magazine,
Program for Research Groups of Excellence granted by the vol. 48, no. 12, pp. 132141, Dec. 2010.
[23] X. Jiang and D. Xu, Collapsar: A VM-based architecture for network
Seneca Foundation with code 04552/GERM/06. attack detention center, in Proceedings of the 13th USENIX Security
Symposium, Aug. 2004, pp. 1528.
R EFERENCES [24] M. Gil Perez, J. E. Tapiador, J. A. Clark, G. Martnez Perez, and
[1] R. Zuech, T. M. Khoshgoftaar, and R. Wald, Intrusion detection and A. F. Skarmeta Gomez, Trustworthy placements: Improving quality
big heterogeneous data: A survey, Journal of Big Data, vol. 2, no. 1, and resilience in collaborative attack detection, Computer Networks,
pp. 141, Dec. 2015. vol. 58, pp. 7086, Jan. 2014.
[2] E. Vasilomanolakis, S. Karuppayah, M. Muhlhauser, and M. Fischer,
Taxonomy and survey of collaborative intrusion detection, ACM
Computing Surveys, vol. 47, no. 4, pp. 55:155:33, Jun. 2015.
136
1
How to find an image despite it has been modified

Diego Garca Ordas, Laura Fernandez Robles, Mara Teresa Garca-Ordas, Oscar Garca-Olalla,
Enrique Alegre
Universidad de Leon
Abstract Image manipulation is a technique that can be tional Institute), University of Leon, Official Association
carried out by the majority of people. It can be useful in of University Graduates in Computer Science, Technolog-
many situations but it can also be used with malicious pur-
poses. For this reason, image manipulation has become a ical Investigation Brigade of the Spanish National Police
problem when we need to identify images in big datasets. and Polytechnic University of Madrid.
To fight against it, a technique called similarity search is University of Leon is developing and testing one of the
used. It is based on perceptual hashing, but these methods
are not robust against all kind of possible manipulations.
most innovative tasks of ASASEC project, the use of artifi-
University of Leon, within the framework of ASASEC Eu- cial vision techniques to analyse evidences in child pornog-
ropean project, is working to provide a perceptual hashing raphy databases.
solution that outperforms current techniques. In particular, University of Leon is working on several
artificial vision methods, among them:
I. Introduction. Image manipulation problem. Entity detection: Illegal images usually contain en-
It is said that a picture is worth a thousand words and tities or clues that the police, given their experience, can
that is the reason why we are interested in manipulating recognize from past crime scenes. Therefore, scenarios and
images at our will with different purposes. Image ma- evidences can be manually tracked and analysed. Uni-
nipulation is a powerful process that was born almost at versity of Leon is creating an automatic system for clue
the same time than photography and it has been used all detection. Using this system, the police, will be able to
along history in numerous contexts, sometimes with cos- perform this task in an automatized way.
metic purposes (Figure 1) and sometimes with politic pur- Scene categorization and tampering detection
poses (Figure 2). Nowadays, this process is open to every- using perceptual hashes: As we previously said, it is
one since the easy access to image manipulation software common to manipulate illegal images (face obfuscation,
means that singular skills are no longer required. One watermarking, etc.) making difficult their categorization
proof of this is that lots of teenagers with basic computer using the current cryptographic hash methods. University
knowledge touch up images when sharing them in their of Leon is creating a perceptual hashing method, robust
social networks. against all of these modifications to substitute present sys-
In that way, image manipulation has become an ob- tems.
struction in some domains like the fight against child
pornography, which is the object of our study. One of II. Finding images using perceptual hashing
the main clues followed by police when investigating this A hash is a unique identificator associated to a file, some
kind of crimes is the detection of illegal images. At the kind of summary of the file based on its content. Broadly
beginning of the child pornography prosecution, a sus- speaking, generating a hash from a file is similar to con-
pect image was contrasted against a dataset compound vert that file in a piece of representative text. Percep-
of previously marked as illegal images, and if there was a tual hashing is a subset of hashing usually applied to im-
positive match, that new image was also marked as ille- ages. It consists of extracting a simple representation of
gal. However at the moment, confiscated images can be the image, in such a way that small changes over the im-
exactly no equal but just visually similar, because they age from the point of view of human perceptual systems
have suffered any kind of manipulation (compression, size imply small changes on its perceptual hash, and similarly,
changes, brightness and contrast changes, face obfusca- large changes over the image imply large variations of its
tion, etc.). This becomes a serious obstacle because that perceptual hash (see Figure 3).
new image will not be categorized as illegal and crimi- As we can see in these pictures (Figure 3), both are
nals could take advantage of this deficiency. To avoid this very similar from the point of view of human visual sys-
phenomenon, we can use a process called similarity search tems, however, a cryptographic hash (MD5 is shown in
that allows us to find not only identical images but also the figure) is not able to reflect this similarity. We can use
images that are similar to a given one. One of the most cryptographic hashing to verify the integrity of a picture,
commonly used methods of similarity search is robust or but this kind of hash does not offer information about the
perceptual hashing, which will be discussed later. pictures visual structure. As we can observe, the crypto-
ASASEC (Advisory System Against Sexual Exploita- graphic hashes of both images show no similarity at all,
tion of Children) is an European research project whose however, perceptual hashes do. When images are simi-
goal is to provide a technological solution to help the fight lar, distance between their perceptual hashes is very low,
against child pornography. A consortium of public and and in the same way, if both images are slightly different,
private entities expert in innovative technology is devel- their perceptual hashes will be very far away in distance
oping this project; they are INCIBE (Cibersecurity Na- terms. Perceptual hashes reflect the relationship between
137
2
Fig. 1. Abraham Lincolns head on John Calhouns body (1860).
Fig. 2. Nazi propaganda minister removed from the picture.
the similarity of two images and the distances between match with the current one. This problem can be solved
their hashes. using perceptual hashes. Hence, each image would be as-
sociated to a fixed-size hash (usually lower or equal than
If the perceptual hash of the images in a dataset is 512 bits, depending on the used method), which is faster
known, it is easy to perform searches and image catego- than when comparing complete images and also robust
rization. If we have a dataset with millions of images and against several types of modifications.
we want to look for a specific image, an automatic exhaus-
tive search will take too long: Images should be checked Current systems use cryptographic hashes for confis-
one by one to determine if there is a match. Besides, cated images and video indexing. Cryptographic hash
if our image has suffered some kind of modification (com- does rely on the image binary structure - the binary code
pression, format and size changes, brightness and contrast used to store that image in a computer - rather than on
changes), a match will probably not be found, because human perceptual system over an image. For this reason,
there is no image in our dataset that provides a perfect the change of one single bit, almost imperceptible for hu-
138
3
Fig. 3. Left: original image, right: modified image due to color changes. MD5 cryptographic hash extracted from
the original image: bb4f0a96c77e8737d02755457c2e49c8, MD5 cryptographic hash extracted from manipulated image:
6d4d51dfc23becf3edb0019448f78c8c. Perceptual Hash (pHash dct) extracted from original image: 4e1e4967f518cec2, Perceptual
Hash (pHash dct) extracted from manipulated image: 4e1e5d47b518cec0.
man eye, would result in the generation of a completely hashes are good against rotations or other kind of modifi-
different cryptographic hash that will not allow us to dis- cations.
cern if both images are the same from human perception ASASEC project needs a solution robust against all
point of view. As mentioned before, it is very common kind of attacks that images of child pornography usually
to manipulate images: colour correction, watermarking, suffer. University of Leon is working in this challenging
rotations, scales, compressions, etc. For that reason, Uni- task, trying to combine and improve existing methods in
versity of Leon proposes the use of perceptual hashes, ro- order to diminish their deficiencies and adapt them to our
bust against all kind of manipulations within the frame of needs.
the ASASEC project.
III. Current proposal IV. Conclusions

Nowadays thanks to perceptual hashing, we can detect
Cryptographic hashing methods commonly used are
almost any manipulated picture that allows the police to
not very adequate for similarity search, required in child
detect illegal images. Let us do an overview to some of the
pornography datasets. For that reason, University of Leon
methods used to generate perceptual hashes. Yuenan Li et
proposes the use of perceptual hashes. This type of hashes
al [1] obtain a hash robust against rotations using a modi-
is generated based on the content of the perceptual struc-
fication of Gabor filter, achieving a good balance between
ture of the image from a human observer point of view,
robustness and discriminability. Longjiang Yu et al.[2]
instead of being generated based on the binary structure
propose a method robust against compressions and scales
of the image. However, there are many techniques we can
using Cosine Discrete Transform to extract the hash tak-
use to generate perceptual hashes, each of one with their
ing into account the low frequencies of the image, that con-
advantages and limitations, so it is necessary to develop
tains the perceptual basic structure of the image. Another
new useful solutions for our specific problem. University
works such as Jinglong Zuo [3], Monga Vishal [4] or Chen
of Leon is actively working in the search of this solution in
Brenden [5] present robust methods against compressions,
the frame of the ASASEC European project, collaborating
scales and rotations. There are also methods capable of
with several public and private entities.
detecting malicious manipulations, Ahmed Fawad [6], Su-
joy Roy [7] and Han-ling Zhang [8], that can be used for Once this general purpose hashing techniques are re-
tampering detection. In this research line, Farid [9] pro- leased, their use will not be limited to the exclusive needs
poses a method to analyse compression changes over im- of this project. On the contrary, they can also be used
ages to detect artefacts that unveil the presence of spliced in different contexts, for example authorship protection in
regions. There are also some approaches that solve specific video sites like YouTube or the search of images by content
problems for example Senel Kamil [10] applies perceptual on image management systems.
hashing for face recognition for biometric authentication,
extracting robust hashes from face images. Acknowledgements
As we can observe, there is not a perceptual hash ca-
pable of solving all types of modifications that an image This work has been supported by grant DPI2012-36166,
can suffer. Some hashes are good against some types of and via the pre-doctoral FPU fellowship program from the
attacks like changes in scale and compressions and other Spanish Government (AP2010-0947)
139
4
Referencias
[1] C. Z. Yuenan Li, Zheming Lu and X. amu Niu, Robust image
hashing based on random gabor filtering and dithered lattice
vector quantization, Image Processing, pp. 19631980, 2012.
[2] L. Yu and S. Sun., Image robust hashing based on dct sign,
In Intelligent Information Hiding and Multimedia Signal Pro-
cessing, pp. 131134, 2006.
[3] J. Zuo and D. Cui., Retrieval oriented robust image hashing,
Industrial Mechatronics and Automation, pp. 379381, 2009.
[4] . V. Monga and M. Mhcak., Robust and secure image hashing
via non-negative matrix factorizations, Information Forensics
and Security, pp. 376390, 2007.
[5] B. Chen and V. Chandran, Robust image hashing using higher
order spectral features, In Digital Image Computing: Tech-
niques and Applications (DICTA), pp. 100104, 2010.
[6] F. Ahmed and M. Siyal., A secure and robust hashing scheme
for image authentication. Fifth International Conference on
Information, Communications and Signal Processing, pp. 705
709, 2005.
[7] S. Roy and Q. Sun., Robust hash for detecting and localizing
image tampering, Image Processing, 2007.
[8] C. q. X. Han ling Zhang and G. zhi Geng., Content based
image hashing robust to geometric transformations, In Elec-
tronic Commerce and Security, vol. 2, pp. 105108, 2009.
[9] H. Farid, Exposing digital forgeries from jpeg ghosts, Infor-
mation Forensics and Security, pp. 154160, 2009.
[10] M. M. a. K. Senel and V. Monga., A learning framework for
robust hashing of face images, In Image Processing (ICIP),
pp. 197200, 2010.
140
Inseguridad en infraestructuras crticas
Manuel Snchez Rubio, Jos Miguel Gmez-Casero Marichal, Carlos Cilleruelo Rodrguez
UNIR Universidad Internacional de la Rioja, Logroo, Espaa
manuel.sanchezrubio@unir.net;jmgomezcasero@yahoo.es;carloslannister@gmail.com
Abstract Este artculo presenta unas amenazas potenciales en los servicios prestados para muchos usuarios, estn las
existentes cuando los desarrolladores y empresas despliegan SCADA compaas prestadoras de servicios concienciadas de los riesgos
para las infraestructuras crticas sin cuidar la seguridad. Est basado existentes ante la falta de seguridad en los servicios?
en el motor de bsqueda Shodan y su trabajo cuando los atacantes
En este estudio nos centraremos en las vulnerabilidades
renen informacin sobre un objetivo o cuando estn buscando un
activo para atacar. Adems, se muestra en este documento una existentes en las conocidas como infraestructuras crticas (ver
prueba de concepto, simuladora de ataques a estos sistemas SCADA, ejemplo en Fig. 1), trmino aplicado generalmente a aquellos
siguiendo los pasos de un atacante convencional, desde la consulta de activos cuyo funcionamiento es en beneficio de la sociedad, desde
bsqueda en el motor Shodan, hasta que el acceso es concedido a una generadores de electricidad hasta transporte, hospitalesetc.
infraestructura crtica. Todos los sectores que se apoyan en infraestructuras crticas
son, como su nombre indica, necesarios para el funcionamiento de
Keywords SCADA, seguridad por defecto, infraestructuras
crticas, shodan, footprinting.
la sociedad en mayor o menor medida, y su correcto
funcionamiento ser responsable del crecimiento de sta.
Pero en el funcionamiento existe un elemento que no se trata
I. INTRODUCCION debidamente, bien porque se trata con menor prioridad o bien
porque simplemente no se trata: la seguridad del entorno. Si los
Internet de las Cosas (IoT) [1] est terminando de
responsables de una infraestructura crtica no garantizan la
materializarse, y cada da las personas hacen uso de la tecnologa
proteccin necesaria para su entorno, entonces no se est
para cumplir sus necesidades, desde pequeas consultas cotidianas
mitigando el riesgo existente ante la posibilidad de que el trabajo
hasta poder comprar productos con un solo botn preprogramado.
realizado por sta infraestructura no sea el esperado o que incluso
Un indicador de que el IoT est sobre la sociedad es la
suponga una interrupcin del servicio, provocando prdidas que,
posibilidad de solicitar a la compaa de comercio electrnico
en algunos casos, no tienen cuanta econmica para evaluarse.
Amazon un botn dash button que, cada vez que el usuario pulsa,
Afortunadamente los principales fabricantes han reaccionado
se enviar a su domicilio un pedido segn los parmetros
ante este tipo de ataques y muchos de sus productos obligan
establecidos en el dispositivo (por ejemplo, para solicitar
durante su proceso de implantacin a ejecutar una serie de pasos
productos consumibles y cotidianos).
destinados a establecer la configuracin de la seguridad de ste.
Lo que parece ser un simple dispositivo electrnico al servicio
Un ejemplo sera los dispositivos de almacenamiento en red de
del usuario esconde, a su vez, un foco potencial de inseguridad
Synology, los cuales requieren un valor para la contrasea del
para el usuario, ya que su utilizacin es nicamente un botn, pero
usuario admin, cuyo nombre tambin puede ser modificado.
tras este mecanismo existe, principalmente, un envo de datos a los
Sin embargo, la complejidad de la contrasea no es evaluada
servidores de la compaa, donde se realizar un pedido segn la
durante este proceso, lo que lleva la responsabilidad de su fortaleza
informacin de la solicitud emitida.
al usuario, depurando responsabilidades por parte del fabricante,
Si cada vez que se pulsa un botn se realiza un pedido, la
pero el problema persiste.
pulsacin repetida de este botn supone, por tanto, la realizacin
De esta forma, vemos que existen dos escenarios diferentes
de un elevado nmero de pedidos, que supondrn un desembolso
pero que ambos han dejado durante el desarrollo el aspecto de la
para el usuario.
seguridad en segundo plano, lo que conlleva asumir riesgo por
Y si alguien es capaz de copiar ese envo y replicarlo
parte de todas las personas responsables de ste.
malintencionadamente infinitas veces? Es consciente el usuario
La principal puerta de acceso a estos entornos por parte de
de que est siendo vctima de este ataque? Y lo que podra ser ms
entidades externas sin acceso autorizado es mediante las diferentes
importante, ha sido el usuario consciente de este riesgo en el
vulnerabilidades existentes en el propio sistema SCADA [2], que
momento de adquirir el servicio?
se han convertido en objeto de muchos estudios tanto generales
Aunque es muy probable que esta compaa de comercio
[3],[4] como propios del conocido como hacktivismo [5], mencin
electrnico s haya considerado todos los escenarios, este ejemplo
especial al gusano informtico Stuxnet [6], uno de los mayores
nos sirve para exponer un problema existente en la actualidad: la
ataques contra este tipo de entornos. Entre estas vulnerabilidades
sociedad es consciente de las capacidades de la tecnologa para
destacaremos la ya mencionada seguridad por defecto como
suplir sus necesidades, pero no es consciente de los riesgos que
vulnerabilidad que ofrece acceso a estos sistemas.
supone apoyarse en ella sin conocer stos.
En el presente artculo se hace mencin expresa a una
Llegados a este punto, y pensando ms en las organizaciones y
herramienta ampliamente conocida y utilizada para la bsqueda de
141
estos entornos, Shodan, creada por John Matherly [7], que desde (Ghena et al, 2014 [9]), en el que se realiza un anlisis de cada una
2009 ha estado realizando un escaneo eterno de todas las de las partes implicadas en este entorno, cuyo funcionamiento
direcciones IP y recolectando la informacin de las cabeceras de puede ser simple y sencillo, pero que si un ente externo logra
cada servicio que aloja. comprometerlo, podra suponer graves consecuencias.
Una vez expuestos todos los elementos participantes en el Su principal ventaja es el control de estas estructuras en remoto,
presente estudio, concluiremos con una prueba de concepto, donde permitiendo una gestin a distancia de estos activos y as poder
seguimos la metodologa de un atacante cualquiera desde una garantizar el buen funcionamiento y gestin del servicio para el
bsqueda en Shodan de una infraestructura crtica, hasta el acceso que se trabaja. Uno de los principales elementos principales de un
a una de stas, donde tendremos control total de la misma. sistema SCADA es el sistema supervisor, que cuenta con una
Finalmente, en la seccin VI se incluyen las conclusiones del interfaz humano-mquina (Human-machine interface HMI),
estudio. utilizada como elemento de conexin entre la informacin de la
La principal motivacin tras este estudio es mostrar. Otro mquina y las rdenes de las personas designadas como
estudio de referencia, ms enfocados al Internet de las Cosas y a responsables del entorno.
los accesos abiertos o que no hacen uso de la seguridad por La utilizacin de estos entornos se ha extendido mucho, y ha
defecto, es el realizado por Patton [8]. En el caso del presente llamado la atencin de los atacantes por el potencial existente a la
estudio, no haremos una bsqueda general de dispositivos con hora de tomar el control de infraestructuras crticas, tanto parcial
acceso abierto, sino que nos centraremos en entornos crticos, como totalmente. Ejemplos histricos sobre el inters despertado
donde la seguridad adquiere una importancia an mayor. en los atacantes es, como se ha mencionado anteriomente, el
gusano informtico Stuxnet, que fue descubierto en 2010 y que
cuya actividad se centr principalmente en sistemas SCADA
desarrollados por el fabricante Siemens ubicados en Irn.
Tanto antes como despus de este conocido malware, los
sistemas SCADA son objetivo de muchos ataques y de
investigaciones que buscan constantemente vulnerabilidades que
puedan ser aprovechadas.
Ms all del perfil del atacante, la seguridad de los entornos
SCADA, las infraestructuras crticas que gobiernan y entornos que
interactan con stos (sistemas de monitorizacin) han sido objeto
de estudio para muchas organizaciones, como el Instituto Nacional
de Tecnologas de la Comunicacin [10], cuyos autores repasan
los principales conceptos relacionados con el desarrollo de
entornos para el sector industrial.
Por ltimo, es importante comentar que existen diferentes tipos
de normativas en los sistemas de control, enfocadas especialmente
en la seguridad, donde se recopilan diferentes modelos y
Fig. 1. Ejemplo de interfaz de una infraestructura crtica (depuradora de aguas) recomendaciones, as como estndares centrados en diferentes
con SCADA.
sectores, como podra ser el energtico. Una recopilacin general
de esta normativa es la que ofrece INCIBE en su pgina oficial
[11]. Existen estudios donde se aplican estas normativas. En el
II. SCADA Y ESTRUCTURAS CRTICAS caso del estudio realizado por Czechowski, Wicher y Wiecha
sobre la seguridad en la comunicacin de entornos SCADA
Para poder tener el estudio en contexto, dedicamos este captulo aplicando la normativa IEC 61850 [12], donde se define una serie
para la definicin de algunos elementos clave del mismo. de vulnerabilidades en un escenario. Entre las vulnerabilidades
Los principales protagonistas son las infraestructuras crticas, figura valores de usuario y contrasea por defecto, que
un conjunto de estructuras que engloban una pieza clave para el pertenece a un grupo al que dedicaremos un captulo ms adelante,
crecimiento de la sociedad, y que cuyo correcto funcionamiento y que adquirirn importancia en el presente estudio. Como
debe ser garantizado por sus responsables. referencias a diferentes tipos de soluciones SCADA existentes en
Segn sus siglas Supervisory Control And Data Acquisition, la actualidad, se puede recurrir al estudio de Aghajanzadeh y
SCADA es utilizado ampliamente para el control de Keshavarz-Haddad [13].
infraestructuras crticas. Existe un estudio centrado en la seguridad
de los entornos responsable de la seguridad vial de Estados Unidos
142
III. SHODAN En este caso Shodan necesita datos concretos, tales como la
direccin IP de un equipo en concreto (o una subred especfica),
Introducidos en la problemtica existente en SCADA, y un nmero de puerto especfico, o una cadena que figure en la
conociendo la criticidad de los entornos que gobiernan, vemos que cabecera del servicio que Shodan haya identificado al descubrir la
estos entornos deben estar expuestos a la Red para mantener la Red. Una vez parametrizada la bsqueda esta se realiza y ofrece
operativa en remoto, lo que supone aceptar el riesgo inherente de los resultados que responden a la consulta realizada.
que cualquier persona conectada a la Red puede tener acceso a Cada elemento de la lista de resultados dispone de informacin
ste. Sin embargo, buscar entornos SCADA preguntando el tipo de relacionada con los servicios que el equipo tena en
servicio que presta cada direccin IP en la actualidad en cada uno funcionamiento en el momento de su deteccin, as como
de sus puertos, puede suponer una tarea muy pesada para un informacin propia de una direccin IP, como el proveedor de
atacante en particular, adems de dejar una huella digital grande. servicio, ASN o el pas de localizacin, entre otros. La mayora de
Es aqu (y en muchos otros aspectos de seguridad de la estas detecciones son bien servicios de conexin Telnet/ SSH o
informacin) donde Shodan ha sabido ganarse un sitio en el kit de aplicaciones web que sirven como pasarela de acceso al servicio
utilidades para cualquier experto en seguridad. Creada por John en s, el cual es accesible a travs de Shodan.
Matterly, este motor de bsqueda ofrece al usuario resultados En muchas ocasiones, incluso, se puede acceder al servicio sin
sobre lo que este busque, pero prescindiendo de sitios web, sino albergar ningn tipo de seguridad, permitiendo ver, por ejemplo,
utilizando los banner de los servicios que tienen habilitados los las imgenes que ofrece una cmara IP, como muestra la figura 2.
servidores.
En este punto del estudio, es necesario definir dos tcnicas

utilizadas en la fase de bsqueda de informacin de cualquier test
de penetracin a un sistema: footprinting y fingerprinting [14].
Footprinting hace referencia a cualquier recopilacin de
informacin pasiva-indirecta de un objetivo con respecto del
atacante, esto es, sin que la vctima sea la fuente original directa.
Como ejemplos de esta tcnica, estn la bsqueda de
informacin de una organizacin en diferentes publicaciones en
medios abiertos, utilizacin de motores de bsqueda, informacin
relativa a registradores, DNS, WHOIS, etc.
Por otra parte estn las tcnicas de fingerprinting, ms
agresivas que las descritas anteriormente, ya que su objetivo es
adquirir la informacin directamente del objetivo, como por
Fig. 2. Sesin abierta va web con control
ejemplo utilizando un escner de puertos o haciendo anlisis de su de cmara IP, con acceso desde Shodan.
trfico de red.
La principal ventaja de fingerprinting es la obtencin de
informacin muy valiosa, como el funcionamiento de un sistema, Por ltimo recalcar la capacidad de expansin que tiene Shodan
su versin, su sistema operativo, los servicios activos, mientras y el apoyo comunitario del que dispone, los cuales han permitido
que footprinting se trata de recopilacin de informacin desde el extender el motor de bsqueda a otros desarrollos, como Shodan
exterior, aunque de menos valor. Maps, donde disponemos de un mapa mundial con las direcciones
Es aqu donde destaca Shodan, ya que lo relevante de este IP de las mquinas reconocidas en Shodan, o Shodan Exploits, un
motor de bsqueda, no es nicamente la disposicin de la buscador destinado a la consulta de vulnerabilidades reconocidas,
informacin de los sistemas que ha escaneado, sino su mtodo de que pueden ser ordenadas y clasificadas segn origen, plataforma,
funcionamiento, basado en la captura de estados de los servicios, fabricante, etc. (ver figura 3).
recopilando informacin en espacio y tiempo, y permitiendo el
acceso a esta informacin de forma atemporal, sin utilizar
informacin relativamente en tiempo real.
Esto tiene la principal ventaja, desde el punto de vista del
atacante, de que obtiene informacin valiosa, tpica de tcnicas de
fingerprinting, a travs de una entidad ajena al objetivo, similar al Fig. 3. Buscador de exploits de Shodan
footprinting.
143
La aportacin de Shodan al mbito de la seguridad de la Se trata de una vulnerabilidad reconocida por las
informacin ha sido muy grande, al ser una herramienta de gran organizaciones especializadas en seguridad, como por ejemplo
utilidad tanto para atacantes como para expertos en seguridad. Ms OWASP [17], que la recoge en su Top Ten [18] personal de
all de los escenarios propios de un ataque, Shodan tambin sirve vulnerabilidades ms extendidas.
para ofrecer informacin propia de un servicio Big Data, al Existen muchos estudios relacionados con la seguridad por
disponer de informacin de innumerables ordenadores, defecto, como el realizado por Cui y Stolfo, en el que recogen
dispositivos mviles, entornos crticos, webcams/ cmaras IP, etc. diferentes datos relacionados con la seguridad por defecto [19],
Adems de Shodan, otros autores han realizado estudios basados como que un 13% de los dispositivos descubiertos durante su scan
en el potencial de este motor de bsqueda, como Bodenheim, contaban con valores de seguridad por defecto, que les permitieron
quien realiz una tesis enfocada en la bsqueda de sistemas de
acceder al entorno, que poda ser desde una webcam hasta un
control de entornos industriales mediante Shodan [15], la cual
router convencional.
sirvi como pie de investigacin y una prueba de concepto en la
Tpicamente se puede comprobar este formato de credenciales
que Bodenheim et al (2014) [16] hacan uso de cuatro
programadores lgicos a modo de seuelo para evaluar el grado de en los routers de conexin a internet que las operadoras telefnicas
exposicin ante Shodan. El presente estudio tambin ofrece una y proveedoras de conexin a la Red proporcionan a los usuarios
serie de pautas para mitigar la exposicin ante el buscador, en sus viviendas. Ms all del usuario particular, existe un estudio
mediante la manipulacin de cabeceras de servicio. centrado en la seguridad de la conectividad WiFi (Sagers et al,
2015) [20], en el que se evala el estado actual de la seguridad
Esta informacin se ofrece en forma de informes que publica la WiFi y se realiza una reflexin orientada a los proveedores de
propia pgina de Shodan con cierta frecuencia, ofreciendo a la puntos de acceso WiFi.
comunidad datos estadsticos como el nmero de webcams
existentes en el mundo (ver figura 4).
Para la gran mayora de usuarios, son familiares determinadas
cadenas de caracteres ASCII usadas como claves de paso a los
sistemas, como accesos a portales de router y as gestionar
diferentes aspectos de stos.
No obstante, hay que recalcar otra gran parte de fabricantes que
proveen productos y soluciones hardware/software que ofrecen
este tipo de sistemas de gestin y, durante su proceso de
instalacin e implantacin, solicitan de forma obligatoria la
introduccin de una contrasea para la cuenta de usuario
administrador, con suficiente fortaleza, cayendo la
Fig. 4. Uno de los informes que ofrece Shodan.
responsabilidad de cualquier acceso no autorizado en la parte del
responsable de la instalacin, y no en el fabricante.
Es interesante recalcar que el buscador Shodan y todas sus Afecta esta vulnerabilidad a los sistemas SCADA? Las figuras
utilidades no son gratuitas, sino que existe una licencia vitalicia 5 y 6 muestran capturas de pantalla de un sistema SCADA
para tener acceso a mltiples elementos, como el uso de todos los destinado a la monitorizacin y gestin de una empresa generadora
filtros de bsqueda, el visionado de todas las pginas de resultados de energa solar.
y una API key para poder realizar desarrollos basados en Shodan. El citado sistema, tiene un control de voltajes para cada panel
Tambin dispone de acceso a un sistema de crditos, que existe solar, as como una variedad de sensores que permiten monitorizar
en la pgina del propio buscador, donde se pueden comprar voltaje acumulado, temperatura, intensidad de luz que percibe, etc.
distintos plugins que enriquecern el funcionamiento. En general, se trata de una interfaz muy completa, pensada ms
Desde el punto de vista de un experto de seguridad de la para comprobar el estado de la totalidad de los paneles solares pero
informacin profesional, la utilizacin de una licencia de Shodan con dotes de control remoto.
es ms que recomendada para poder observar con todos los Puede afectar la seguridad por defecto a este entorno? Para
ello hay que localizar informacin til relativa a la configuracin
detalles necesarios el estado de los activos que estn expuestos a
de seguridad de la interfaz. La cabecera del servicio nos notifica
la Red y cuya responsabilidad dependa de ste.
la utilizacin de una aplicacin web que requiere usuario y
contrasea para su acceso.
Haciendo una bsqueda del fabricante, modelo y versin del
sistema SCADA en cuestin, vemos que, al proveer el sistema, se
IV. SEGURIDAD POR DEFECTO ofrecen unas credenciales con valor por defecto para poder acceder
al sistema.
144
las credenciales por defecto han sido modificadas y modificadas

por contraseas de elevada fortaleza [22].
V. PRUEBA DE CONCEPTO
Como caso prctico de este estudio, realizamos un seguimiento

de los pasos que realiza cualquier atacante desde la bsqueda de
un host vctima hasta el acceso a una infraestructura crtica, donde
concluiremos la prueba de concepto, pero que desgraciadamente,
no siempre coincide con la conclusin del ataque, ya que la
mayora culmina con la desconfiguracin del entorno, la cada del
Fig. 5. Interfaz de inicio de sesin de una empresa de energa solar con defectos sistema, etc.
graves en las credenciales
El comienzo de la localizacin de un objetivo es mediante el
buscador objeto de este estudio, Shodan, preguntando a ste por
En el caso de que las personas responsables de la seguridad de diferentes parmetros propios de una cabecera de servicio de un
la granja de paneles solares no hayan pensado en el riesgo entorno SCADA. En esta prueba buscaremos acceder a una
existente a la hora de utilizar credenciales por defecto, un atacante estacin depuradora de aguas residuales (ver figura 7).
podra utilizar esta informacin que ofrece el fabricante contra Debido al objetivo de este entorno, es bastante probable
estos entornos y tener acceso sin restricciones contra las encontrar el objetivo con palabras que refieran a dichos
infraestructuras, obteniendo el control que la interfaz permita al dispositivos o similares en elementos como el cuerpo o el ttulo de
usuario. la interfaz web del servicio.
Cules son las consecuencias ante este acceso no autorizado? Realizando la bsqueda mediante los parmetros
En este caso, si el atacante decidiera apagar el sistema, supondra proporcionados, encontramos servicios que cumplen con los
prdidas econmicas de magnitud alta por cada hora que el sistema requisitos iniciales, ubicados en un determinado Pas y con cdigo
est apagado, suponiendo una amenaza que aumenta en el tiempo
HTTP 401 requerida autorizacin.
para la organizacin.
Para otras pruebas de concepto y test de footprinting, hay que
destacar este ltimo detalle, ya que en muchas ocasiones el
buscador mostrar un cdigo 200 OK, lo que significara que el
servicio no requiere de autorizacin y sera libremente accesible,
pudiendo llevarnos directamente al cuadro de mando del entorno
al que intentamos acceder.
[Capte la
atencin de
losBsqueda
Fig. 7. lectoresde depuradoras va Shodan
Fig. 6. Interfaz de gestin de los paneles solares mediante una
cita
El inters por esta vulnerabilidad ha llevado a diferentes importante
El detalle e histrico nos ofrece el resto de pormenores
comunidades Open Source a la creacin de amplias bases de datos extradamsdel sobre la depuradora: activa desde
necesarios para conocer
con informacin relativa a dispositivos, fabricantes y sus documento o de la bsqueda, otros servicios
hace unos meses desde el momento
credenciales por defecto, como por ejemplo la pgina default- utilice esteva puerto 8080 por el que se ha
abiertos adems del HTTP
passwords [21], que permite buscar este tipo de credenciales, espacio para
utilizadas para este tipo de ataques. encontrado este servidor.
Otros elementos resaltar
como unIP y versiones que maneja el servidor,
Para finalizar el captulo, indicar que guas de buenas prcticas punto clave.
como el NIST recogen entre sus recomendaciones asegura que nos podran ofrecer otros datos de forma indirecta, como la
geolocalizacin en Paracoordenadas
colocar de la depuradora y las
el cuadro de
texto en
cualquier
lugar de la
pgina, solo
tiene que
arrastrarlo.]
145
vulnerabilidades recogidas en la lista CVE [23], que serviran para

ampliar el espectro de accin y vector de ataque.
El acceso al servicio web (accesible va link directo en el
resultado de Shodan) nos muestra una pgina en blanco, con una
ventana emergente que sale casi al instante de intentar acceder al
servicio. En esta ventana, nos pregunta por nuestros credenciales
junto con una informacin del servicio, que muestra claramente el
fabricante y versin del producto que gestiona este servicio, tal y Fig. 9. Panel de control para gestin de depuradora de agua.
como se puede observar en la siguiente figura 8.
Finalizamos la prueba de concepto, al haber logrado con xito

el acceso no autorizado a una infraestructura crtica. El escenario
se ha centrado en un caso muy particular de infraestructura crtica,
pero el mismo puede trasladarse tanto a objetivos dirigidos
(utilizando una direccin IP especfica y propia de una
organizacin) como a otros tipos de entornos crticos.
VI. CONCLUSIONES
Con el presente artculo ofrecemos una percepcin de la
problemtica existente en la ya mencionada seguridad por defecto,
centrndonos en las infraestructuras crticas, SCADA y sus riesgos
y consecuencias en caso de no mitigar problemas como los
descritos.
Fig. 8. Ventana emergente del servicio web de la depuradora
La prueba de concepto realizada no es ms que una de las miles
An desconocemos si el fabricante proporciona unos de pruebas de concepto (que se transforman en ataques reales) que
credenciales predefinidos a los clientes que adquieran este vulneran los mecanismos de seguridad de estas estructuras crticas
producto, y ni siquiera conocemos estos credenciales, pero la y suponen una seria amenaza para las organizaciones, sus servicios
informacin de esta ventana ser ms que til para este fin. y los usuarios de stos.
As, tan slo har falta realizar una consulta en cualquier motor Las consecuencias que puede tener, por ejemplo, el acceso a
de bsqueda y buscar esta informacin junto con cadenas de una depuradora que abastece agua a una regin, supone hablar de
caracteres comunes. trminos que se miden por encima de los daos econmicos, lo
Esta misma bsqueda nos lleva a una consulta en un foro de que hace que su seguridad tenga un valor mucho ms elevado que
dudas, donde un usuario consulta por estos credenciales, al no el habitual, ya que el adjetivo crtico de estas infraestructuras est
haber tenido oportunidad de acceder al servicio. claramente justificado.
Otro usuario resuelve la cuestin indicando los credenciales, Debilidades del sistema como uso de credenciales por defecto,
reutilizacin de credenciales y contraseas de fortaleza dbil se
los cuales utilizamos para intentar acceder al servicio objeto de
basan en una vulnerabilidad propia de usuarios y administradores,
esta prueba de concepto.
por lo que su mitigacin es mucho ms difcil de solventar.
El resultado, como caba esperar, es satisfactorio, y Siempre se pueden crear polticas de seguridad que cubran
conseguimos entrar al panel de control con xito, accediendo a escenarios como los descritos anteriormente, que incluyan
todas las funcionalidades propias de este entorno SCADA, desde clausulas como tiempos de expiracin para contraseas,
controlar el estado de las alarmas hasta modificar la dosificacin utilizacin de varios tipos de caracteres, etc.
de sosa y nutrientes (ver figura 9). Sin embargo, la principal solucin para evitar accesos no
autorizados a los entornos SCADA es bastionar las infraestructuras
crticas. De esta forma, incluso el acceso desde Shodan ser muy
difcil o imposible.
La principal seguridad contra este tipo de tcnicas de
footprinting y fingerprinting es aadir una nueva capa de
seguridad a nivel de red, basada en redes privadas tipo VPN, que
sean utilizadas nica y exclusivamente para el acceso a las
interfaces humano-mquina.
146
De esta forma, el atacante tendr que resolver la problemtica [11] Instituto Nacional de Ciberseguridad (2015, julio). Normativas de seguridad
en sistemas de control. Recuperado de
de enfrentarse a una conexin VPN antes de poder acceder al
https://www.incibe.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_com
entorno SCADA, lo que implica paliar con los diferentes aspectos entarios/Normativas_seguridad_sistemas_control.
de este tipo de redes privadas, mucho ms seguras. [12] CZECHOWSKI, R., WICHER, P., & WIECHA, B. Cyber Security in
Otras opciones, en caso de ser un sistema de control remoto communication of SCADA systems using IEC 61850. Julio 2015
[13] Aghajanzadeh, N., & Keshavarz-Haddad, A. (2015). A Concise Model to
especfico y cerrado, como puede ser por ejemplo entre dos sedes
Evaluate Security of SCADA Systems based on Security Standards.
de una organizacin, podra utilizarse un sistema de filtrado por IP International Journal of Computer Applications, 111(14).
tipo lista blanca, donde slo se permite el acceso al entorno desde [14] Baloch, Rafay. Ethical Hacking and Penetration Testing Guide. CRC Press,
direcciones IP propias de la compaa, impidiendo cualquier 2014.
[15] Bodenheim, R. C. (2014). Impact of the Shodan Computer Search Engine on
acceso externo.
Internet-facing Industrial Control System Devices (No. AFIT-ENG-14-M-
Es posible que la solucin ms evidente sea que se detenga la 14). AIR FORCE INSTITUTE OF TECHNOLOGY WRIGHT-
actividad tanto de Shodan, al tratarse de un escaneo de la Red a PATTERSON AFB OH GRADUATE SCHOOL OF ENGINEERING AND
gran escala, pero lo que recogemos en este estudio no es el poder MANAGEMENT.
[16] Bodenheim, R., Butts, J., Dunlap, S., & Mullins, B. (2014). Evaluation of the
de motores de bsqueda como el desarrollado por John Matherly,
ability of the Shodan search engine to identify Internet-facing industrial
sino la vulnerabilidad existente por naturaleza en los servidores: control devices. International Journal of Critical Infrastructure Protection,
su exposicin a la Red para prestar servicio implica ofrecer una 7(2), 114-123.
informacin que puede ser utilizada por terceros con intenciones [17] https://www.owasp.org/index.php/Main_Page
[18] https://www.owasp.org/index.php/Top10#tab=OWASP_Top_10_for_2013
maliciosas y que estn fuera del alcance y objetivos del servicio a
[19] A. Cui and S. J. Stolfo. A quantitative analysis of the insecurity of embedded
prestar en s. network devices: Results of a wide-area scan. In Proceedings of the 26th
No obstante tambin cabe destacar el uso de Shodan en la Annual Computer Security Applications Conference, pages 97106. ACM,
actualidad para la actividad destinada a fines estadsticos y de 2010.
[20] Sagers, G., Hosack, B., Rowley, R. J., Twitchell, D., & Nagaraj, R. (2015,
investigacin, a la hora de ofrecer toda su informacin sectorizada
January). Where's the Security in WiFi? An Argument for Industry
por protocolos, pases y fabricantes Awareness. In System Sciences (HICSS), 2015 48th Hawaii International
Conference on (pp. 5453-5461). IEEE.
AGRADECIMIENTOS [21] https://default-password.info/
[22] National Institute of Standards and Technology (2015, mayo). Guide to
Industrial Control Systems (ICS) Security. Recuperado de
This work is partially supported by UNIR Research Support http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r2.pdf
Strategy 20132015, under the CYBERSECURITICS.es [23] https://cpe.mitre.org/
Research Group [http://research.unir.net].
REFERENCIAS
[1] Ashton, Kevin. "That internet of things thing." RFiD Journal 22.7 (2009):
97-114.
[2] Daneels, Axel, and Wayne Salter. "What is SCADA." International
Conference on Accelerator and Large Experimental Physics Control Systems.
1999.
[3] Igure, Vinay M., Sean A. Laughter, and Ronald D. Williams. "Security issues
in SCADA networks." Computers & Security 25.7 (2006): 498-506.
[4] Krutz, Ronald L. Securing SCADA systems. John Wiley & Sons, 2005.
[5] Langner, Ralph. "Stuxnet: Dissecting a cyberwarfare weapon." Security &
Privacy, IEEE 9.3 (2011): 49-51.
[6] Wilson, Clay. "INDUSTRIAL AND SCADA SYSTEMS MAY BE
INCREASINGLY TARGETED FOR CYBERATTACK." (2012).
[7] Matherly, John C. "SHODAN the computer search engine." Available at
[Online]: http://www. shodan.io (2009).
[8] Patton, M., Gross, E., Chinn, R., Forbis, S., Walker, L., & Chen, H. (2014,
September). Uninvited Connections: A Study of Vulnerable Devices on the
Internet of Things (IoT). In Intelligence and Security Informatics Conference
(JISIC), 2014 IEEE Joint (pp. 232-235). IEEE.
[9] Ghena, B., Beyer, W., Hillaker, A., Pevarnek, J., & Halderman, J. A. (2014,
August). Green lights forever: analyzing the security of traffic infrastructure.
In Proceedings of the 8th USENIX conference on Offensive Technologies
(pp. 7-7). USENIX Association.
[10] Instituto Nacional de Tecnologas de la Comunicacin (2012, marzo).
Estudio sobre la seguridad de los sistemas de monitorizacin y control de
procesos e infraestructuras (SCADA). Recuperado de
https://www.incibe.es/file/5ik7qnpsCJD6GNls9ZYKrA
147
JNIC2015 Novena sesion: Ciberseguridad en Industria
Reto en ciberseguridad: anlisis forense de discos

Andrs Caro
Dpto. Ingeniera de Sistemas Informticos y Telemticos - Universidad de Extremadura
andresc@unex.es
Resumen- El anlisis forense de discos puede considerarse extensiones habituales de vdeos y fotografas. Esto es ms que
como uno de los retos con ms importancia e, incluso, evidente.
demanda social. Este reto es ideal para alguien que desee Finalmente, todo anlisis forense acaba con un
iniciarse sin tener ningn conocimiento previo. Por ello, se documento/informe en el que el forense explica sus mtodos,
selecciona Windows como sistema operativo base. Pese a que resultados y conclusiones. Este paso no est incluido en el
todo lo aqu expuesto puede realizarse tambin desde Linux (y ejercicio propuesto, puesto que aqu se presenta la metodologa
con mayor facilidad), se opta por utilizar el sistema operativo tcnica de anlisis forense de discos. La elaboracin de
ms habitual para no iniciados. informes periciales quedara fuera de lo que es el reto en s, un
El reto se presenta totalmente resuelto, y se propone que se reto totalmente tcnico y no demasiado formal.
repita sobre otra unidad que se proporciona mediante un enlace
web para descargar y practicar todo lo aprendido.
II. RETO EN ANLISIS FORENSE DE DISCOS
I. INTRODUCCIN Se sospecha que un equipo informtico puede contener

archivos con informacin muy valiosa para aclarar ciertas
El reto en s consta de dos partes: una fase de clonado de un circunstancias en un proceso judicial. Se requiere a un
disco duro y una segunda fase de recuperacin de informacin especialista en ciberseguridad con el objetivo de que realice un
y archivos del mismo. Ambas fases se explican paso a paso, anlisis forense para obtener estos archivos. En principio,
sobre una imagen clonada de una memoria USB. Con parece que se dispone nicamente de un disco duro, extrado
posterioridad, se facilita un enlace web a una imagen clonada del equipo confiscado, y que es sobre el que deben realizarse
para que los interesados puedan realizar su propio reto, las pruebas pertinentes. Junto con el mismo, se dispone de un
repitiendo el proceso. La imagen se corresponde con una escrito judicial en el que el juez encargado de la investigacin
clonacin de una memoria USB, en vez de un disco duro, por solicita recuperar los archivos sensibles a la investigacin.
cuestiones de espacio y tiempo. Se entiende que cualquiera que
sea capaz de clonar bit a bit una memoria USB, tambin es
capaz de clonar un disco duro. Para las pruebas, trabajar con
III. OBJETIVOS
una memoria USB es ms rpido y ocupa bastante menos
espacio que hacerlo con un disco duro de GB/TB. Para la realizacin del anlisis forense, se identifican los
El reto se presenta con instrucciones bsicas para realizar el objetivos parciales que se resumen a continuacin:
anlisis. Cualquier no iniciado ser capaz de saber qu hace
cada uno de los pasos y cmo se recupera la informacin, por FASE 1: Preservacin de pruebas
lo que una persona enfrentada en la vida real a un caso similar
pero no igual podra saber fcilmente cmo actuar. 1. Clonado del disco duro, siguiendo las tcnicas clsicas de
Es cierto que existen herramientas que buscan archivos anlisis forense, para evitar la alteracin de la prueba original.
borrados en la tabla del sistema de ficheros (tipo Testdisk) y De este modo, todas las pruebas que se realicen sern llevadas
herramientas que buscan directamente en el espacio de a cabo en una copia clonada exacta a la original, manteniendo
ficheros, identificando cualquier archivo que encuentre (tipo inalterado el disco duro original.
Photorec). Para casos habituales, lo aprendido en este reto, en
cuanto a metodologa, supera con creces las limitaciones FASE 2: Localizacin de archivos con contenido sensible
impuestas por las herramientas utilizadas (presentes y futuras). a la investigacin
El ejercicio propone recuperar archivos, y realizar un anlisis
forense real, incluyendo el filtrado de esos archivos segn el 2. Recuperacin de archivos borrados y bsqueda de todos
contenido relevante para el caso. Aunque este filtrado no aquellos que tengan un formato de inters para la
destaca en el reto, es evidente que si lo que se buscan son investigacin.
archivos con contenido de pornografa infantil, por ejemplo, 3. Bsqueda exhaustiva de todos los archivos almacenados
los ficheros a filtrar se corresponderan con aquellos que tienen que tengan un formato determinado concordante con la
informacin que se desea buscar. Habr que tener especial
148
atencin a que el propietario del equipo no haya renombrado a) Obtencin de una imagen clonada del disco duro
las extensiones de los archivos en cuestin, con el objetivo de original.
ocultar su existencia, disimularla o confundir a cualquier otro b) Recuperacin de archivos borrados y anlisis de los
usuario del equipo. mismos.
c) Preprocesado para asegurar que los formatos de
archivos son los adecuados.
IV. HERRAMIENTAS SOFTWARE Y MATERIAL
Bsicamente, se dispone de un disco duro original que es VI. FASE DE PRESERVACIN DE PRUEBAS
preciso clonar para preservarlo (en realidad, una memoria USB
de pequeo tamao). Adicionalmente, se presenta en este En este reto se facilitan las explicaciones correspondientes al
apartado el software utilizado durante las tareas de anlisis apartado a), la clonacin del disco duro original (memoria
forense, indicando (en la seccin de referencias) de dnde USB), as como a los apartados b) recuperacin de archivos, y
puede obtenerse. Se ha optado por trabajar con software libre o c) comprobacin de extensiones.
versiones de evaluacin, accesibles sin problemas. En anlisis forense de discos, lo habitual es realizar un
clonado de unidades arrancando desde un Live CD o desde una
Clonado de discos unidad flash USB. En la simulacin, se realizan los siguientes
pasos, previos a la clonacin de esta memoria USB
Como material, se dispone del disco duro original (memoria
USB), que es preciso preservar. Por ello, se debe obtener una Preparacin de memoria USB
imagen clonada del disco original, sobre la que se realizarn
todas las pruebas. Existen muchas herramientas para realizar el Clonar un disco duro puede llevar bastante tiempo,
clonado de discos. Una de ellas podra ser la que se ofrece dependiendo del tamao del mismo, del equipo con el que se
desde OSForensics: OSFClone, en conjuncin con ImageUSB trabaja, de las herramientas utilizadas Para ilustrar todo el
y OSFMount [1]. proceso de forma sencilla, se procedi a preparar una memoria
Tal y como se comentar posteriormente, tambin se hace USB del menor tamao posible (256 Mb en este caso), con una
uso de la herramienta Eraser para realizar borrados seguros de serie de ficheros.
archivos. Esta herramienta puede encontrarse en [2]. Dado que esta memoria USB se haba usado bastante con
anterioridad, copiando y borrando innumerables archivos, fue
Comprobacin de extensiones de archivos preciso prepararla adecuadamente, realizando un borrado
seguro que impidiese recuperar, con posterioridad, archivos no
En la web pueden encontrarse multitud de aplicaciones para deseados en la simulacin. Para ello, se hizo uso de Eraser [2].
determinar la extensin ms probable de un archivo, en el caso As se impide recuperar archivos antiguos que se hubiesen
de que sta se desconozca o se desconfe de la que muestra. eliminado de la memoria USB con anterioridad a su utilizacin
Dado que es posible que los archivos hayan sido renombrados para este reto.
a otras extensiones por el propietario del disco duro, con el
nimo de evitar su identificacin, resulta muy adecuado el uso
de este tipo de herramientas. Esta opcin se encuentra en los
objetivos 2 y 3, anteriormente enumerados. De entre todas las
posibilidades existentes, se seleccionan dos herramientas libres
muy simples, para tratar de asegurar de este modo que los
formatos propuestos concuerden adecuadamente: TrID [3] y
P10XB [4].
Recuperacin de archivos borrados
Para la consecucin del objetivo 2, en lo relativo a la

recuperacin de archivos borrados, tambin existen varias
posibilidades. De entre todas ellas, en este estudio se propone
el uso de MiniTool [5] y Pandora Recovery [6].
Figura 1. Borrado seguro con Eraser.

V. METODOLOGA
Siguiendo los objetivos marcados en orden cronolgico, ser
necesario realizar las siguientes tareas:
149
Debe ejecutarse Eraser, en modo Administrador (Ejecutar Creando el Live Flash USB
como Administrador). Con el botn derecho del ratn, se
selecciona una nueva tarea (figura 1). Se elige Run El siguiente paso consisti en realizar el clonado de la
immediately y se pulsa sobre Add Data. Se deben borrar los memoria USB, que contena 5 archivos en el directorio raz, y
ficheros, as como el espacio libre que queda en la memoria otros 5 archivos borrados, tambin en el directorio raz.
USB y que puede contener archivos borrados hace tiempo. Generalmente, para evitar la alteracin / modificacin de las
pruebas (discos duros, por ejemplo), en informtica forense
Preparacin de archivos suelen utilizarse Live CDs para arrancar el sistema y proceder
a la fase de adquisicin de pruebas. Existen varias
Para la simulacin, se descargaron de internet 10 archivos distribuciones de Live CDs de anlisis forense en la web, que
con extensiones diferentes, y con tamaos pequeos. Las permiten multitud de opciones. En nuestro ejemplo,
extensiones seleccionadas fueron algunas de las ms bsicamente se precisa realizar un clonado de un disco duro
habituales: RTF, DOC, DOCX, XLS, XLSX, PPT, PPTX, (memoria USB). Para ello, bastar con disponer de una
PDF, JPG, BMP, GIF, PNG, MID, MP3, AVI, WMV, INI, herramienta de clonado (OSFClone [1]), que ser montada en
TIF, EXE, TXT una unidad de arranque USB, en lugar de tener que generar un
La relacin de archivos que se usa en este ejemplo se CD de arranque, algo ms tedioso que la solucin que se
muestra en la figura 2.a). Se plantea la idea de cambiar la propone a continuacin.
extensin de estos ficheros con el objetivo de simular que el De este modo, para clonar esta memoria USB (con la
usuario del equipo ha modificado la extensin para dificultar el herramienta OSFClone) se us la aplicacin ImageUSB [1],
seguimiento de los archivos. Bsicamente, se ha eliminado que permite realizar una unidad flash de arranque a partir del
directamente su extensin, en lugar de cambiarla a otra distinta. fichero descargado.
Adems, se seleccionaron 5 archivos para borrarlos de la Tras descomprimir el archivo OSFClone.zip, se dispone del
memoria USB, lo que ilustra la figura 2.b), que muestra los fichero OSFClone.bin. Se debe disponer de un Pendrive para el
archivos sin extensin y a punto de ser eliminados. arranque, de al menos 2 GB, dado que no solo se copiar el
fichero OSFClone.bin, sino tambin un Core Linux de
arranque. Como es de esperar, se borrarn todos los datos que
contenga esta memoria USB de 2 GB. Al ejecutar
ImageUSB.exe, se abre la pantalla mostrada en la figura 3.
a) b)
Figura 2. Archivos copiados en la memoria USB (a), y archivos sin
extensin y a punto de ser borrados (b).
Sobre la memoria USB que se ha preparado con anterioridad

(realizando un borrado seguro con Eraser), se procedi a copiar
en el directorio raz de la misma los 10 archivos sin extensin
que se muestran en la figura 2.a). Tras ello, se borraron 5
archivos, arrastrndolos a la papelera de reciclaje o utilizando Figura 3. Creando el Live Flash USB.
la tecla SUPR (es decir, se hizo un borrado no seguro de los
mismos). En la figura 2.b) se observa cmo se eliminan los Step 1. Debe seleccionarse la unidad USB que quiere
archivos que ocupan un orden par. convertirse en unidad de arranque (en este caso, la unidad I:).
Step 2. Se selecciona la opcin Write to UFD, que viene
marcada por defecto.
Step 3. Se selecciona el archivo OSFClone.bin.
Step 4. Finalmente se graba el USB pulsando Write to UFD.
150
Clonado de la memoria USB destination. A continuacin se eligen las opciones de copia,

opcin 3. Change options:
Tras haber creado el Live FLASH, se introduce esta
memoria en un puerto USB y se arranca el equipo desde l
(para ello, se selecciona la opcin necesaria de la BIOS en el ###OPTIONS###
arranque). Se arrancar un Tiny Core Linux, en el que habr Pleaseselectanoptiontochange:
que presionar <Enter> para empezar y, posteriormente, # Option Default
<Space> para continuar con el modo de vdeo por defecto. [1] ChecksumMethod md5
[2] Postdddstverify Yes
Tras este proceso de inicializacin, aparecen las siguientes
[3] Splitimagefile
opciones: No
[4] Splitfilesize
2G
*********************************************** [5] Compressimage none
TodaysDate:XXXX [6] Compresslevel 6
[7] BlockSize 1M
Pleaseselectanoption:
1.Clonecompletedrive [0] Returntopreviousmenu
2.Imagecompletedrive >1
3.Imagespecifiedpartition
4.Computechecksumofdrive/partition

7.Selectkeyboardlayout(CurrentlyUSLayout)
Como puede verse, por defecto aparece md5 como mtodo
de Checksum. Por seguridad, dado que en los ltimos aos han
9.ShutdownPC quedado patente las colisiones producidas por md5, se procede
0.Exit a cambiar el algoritmo por SHA256. Se seleccionar, por
>2 ejemplo, la opcin 3. Sha256.
Se selecciona la opcin 2. Image complete drive. Se ####Checksummethod####

muestra una ventana para elegir el formato de copia a usar, Checksum method is currently set to 2md5,
como se observa en la siguiente imagen: defaultismd5
Please select which method you would like to
use,optionsarebelow.

Pleaseselectformatyouwishtouse: ChecksumOptions:
1.dd(viadc3dd) 1.md5
2.AFF(requiresatleast256MBofRAM) 2.sha1
3.EWF(requiresatleast256MBofRAM) 3.sha256
>1 4.sha512

>3
Se selecciona la opcin 1. dd (via dc3dd). Tras ello, se
muestra un men que debe completarse por partes:
Finalmente, se marca la opcin 9. Execute dd. Se pedir
confirmacin y comenzar la copia. Con esto se tendr,
Menuchoices: despus de un cierto tiempo (que variar en funcin del
1.Selectsource hardware y del tamao de la clonacin), una imagen llamada
2.Selectdestination image.img en la particin de destino indicada (el nombre del
3.Changeoptions
fichero de salida puede ser modificado si se selecciona la
4.Changeimagefilename
opcin 4. Change image filename en el men principal).
9.Executedd Cuando finalice el proceso de clonacin de la imagen, se
0.Returntomainmen preguntar al usuario si desea salvar un fichero de informacin
>1 en la misma ubicacin del fichero de imagen:
Se elige la opcin 1. Select source, el disco duro fuente, Would you like to save an accompanying info
esto es, la unidad que se quiere clonar. Tras ello, se selecciona fileinthesamelocationastheimagefile?
el disco duro/particin de destino, con la opcin 2. Select (y,n)>y
151
En este caso, se pedir el nmero de caso (Case #), el Montando la imagen

nmero de evidencia (Evidence #), el nombre del analista
(Examiner Name), una descripcin (Description) y As, se habr creado una imagen clonada de la memoria
localizacin/lugar (Location/Place). USB, usando el formato de clonacin dd. Para poder montar
Lo mejor de generar este fichero *.info (image.info) con la una imagen de este formato en Windows, se precisa la
informacin adicional es que, adems de estos datos aplicacin OSFMount [1], mostrada en la figura 4.
introducidos por el usuario, el sistema generar la firma del
fichero imagen (destacada en fondo amarillo, ms abajo), en el
formado seleccionado (sha256 en este caso), lo que servir
para validar la integridad del fichero y certificar que no ha sido
modificado con posterioridad, asegurando as la cadena de
custodia de las evidencias obtenidas.
Una vez que se disponga de esta imagen clonada, por
precaucin, se proceder a almacenar una segunda copia de
esta imagen en otra ubicacin, para evitar tener que proceder a
realizar nuevas clonaciones en el caso de que, por causas del
anlisis forense a realizar, la copia clonada se volviese
inestable. Este proceso se repetir cuantas veces sea necesario,
en caso de que se destruya la copia clonada donde se est
realizando el anlisis forense antes de la finalizacin de todas Figura 4. OSFMount.
las tareas necesarias.
Tras hacer clic en el botn Mount new aparecer la
ImagecreatedusingOSFClonev1.0.1008b pantalla de la figura 5, donde habr que seleccionar el archivo
ImagecreatedonJul29,201317:46:11 imagen.

BASICINFO:
Imagesource:/dev/sdd
Drivemodel:Unknown
Driveserialnumber:Unknown

IMAGEFILE(S):
image

Imagefilesize:255344280bytes

CHECKSUM:

dc3dd7.0.0startedatXXXX
compiledoptions:
command line: dc3dd if=/dev/sdd bufsz=1M
hlog=hash.log log=dc3dd.log hash=sha256
of=/mnt/temp/OSFClone0/image

inputresultsfordevice'/dev/sdd':

0613d6b3bd5bc28e131df4556406a5d12ef9f4c3ca3e9285fff
9feca9550be6e(sha256)

output results for file
'/mnt/temp/OSFClone0/image':

dc3ddcompletedatXXXX
Figura 5. Montando la unidad USB.
Case#:
Evidence#:
ExaminerName:
Description:
Location/Place:
152
VII. FASE DE LOCALIZACIN DE ARCHIVOS CON CONTENIDO Con MiniTool, una vez instalada la aplicacin, sobre la
SENSIBLE A LA INVESTIGACIN pantalla principal, bastar con indicar que se desean recuperar
Una vez que se dispone de la imagen clonada del dispositivo los archivos borrados (opcin Undelete Recovery). Tras ello,
a investigar, sabiendo que esta clonacin se ha realizado bit a debe indicarse sobre qu unidad se desea realizar la
bit, es decir, que dispone de los archivos actuales y tambin de recuperacin de archivos. Al hacer clic en el botn Recover
los archivos que se hayan podido borrar, es cuando toca aparecern los archivos que han sido borrados (Figura 6).
realizar el anlisis de la misma. El objetivo sera recuperar
todos los archivos y ver si las extensiones se corresponden con Una vez que se seleccione el botn Save files, habr que
las adecuadas. indicar dnde se desean salvar los archivos marcados para
recuperar. En la siguiente pantalla se indicar, en color rojo,
que es recomendable (y lgico!) salvar los archivos
Recuperacin de archivos borrados recuperados en otra unidad, ya que, en caso contrario, al
restaurar los archivos borrados sobre la propia unidad en que
Es posible que el propietario del equipo haya borrado, previa haban sido borrados, se altera el contenido de la misma, y es
a la intervencin policial, determinados archivos. Por este posible que se destruya otra informacin sobre la unidad que
motivo, resulta importante realizar una bsqueda exhaustiva. est siendo investigada. Al ser una versin gratuita, la cantidad
Para la consecucin del objetivo 2, en lo relativo a la de datos recuperados se limita a 1 GB, suficiente, al menos,
recuperacin de archivos borrados, tambin existen varias para el ejemplo presentado en este documento.
posibilidades. EaseUS Data Recovery Wizard Professional [7] Por su parte, Pandora Recovery propone el uso de un
y Stellar Phoenix Windows Data Recovery [8] son dos asistente, para guiar en el proceso global de recuperacin de
aplicaciones comerciales de lo mejor que se puede encontrar en archivos. En el caso particular que nos ocupa, lo ms sencillo
el mercado. Como alternativa al software de pago, en [9] se es cerrar el asistente y realizar el proceso directamente
muestra una relacin de 15 aplicaciones gratis para recuperar pinchando sobre la unidad en la que deseamos recuperar la
archivos borrados. Para el anlisis forense propuesto, este tipo informacin (G: en este caso, como se aprecia en la figura 7).
de aplicaciones libres es ms que suficiente. De entre todas Seleccionando los archivos (de los que es posible realizar
ellas, en este estudio se propone el uso de MiniTool [5] y una vista previa), y pinchando en el botn de recuperar (opcin
Pandora Recovery [6]. Archivo + Recuperar en), simplemente habr que indicar
Indicar que siempre se proponen dos herramientas porque a la ubicacin en donde se desean recuperar los archivos.
veces sucede que una herramienta no proporciona todos los
resultados deseados, y siempre es importante tener un plan B.
Incluso es cierto que, tambin a veces, unas herramientas
recuperan unos archivos y otras herramientas terminan de
recuperar otros ficheros distintos.
Figura 7. Archivos a recuperar con la aplicacin Pandora Recovery

sobre la unidad J:
Una vez recuperados los archivos, habr que realizar el

procesado para asegurar el formato de estos archivos
recuperados (por si no correspondiese el formato del archivo
con la extensin con que fue recuperado), pero esta vez, sobre
la carpeta local que se haya creado al recuperar los archivos en
Figura 6. Archivos a recuperar con la herramienta MiniTool sobre la unidad D:
la unidad J:
153
Procesado para asegurar formatos de archivos La idea sera forzar la correccin de las extensiones,
parametrizando el comando trid con la opcin ae:
Tras realizar la bsqueda sistemtica de archivos se
proceder a comprobar la correccin de extensiones de los trid ae ..\..\ficheros2\*.*
mismos, por si el propietario del equipo hubiera renombrado
las extensiones. Para asegurar el correcto formato de los En caso de que exista duda con algn archivo con respecto a
archivos (esto es, la extensin de los mismos) se dispone de su extensin, se puede utilizar tambin la herramienta P10XB
dos herramientas bsicas, que se presentan a continuacin. [4]. Esta aplicacin lee el contenido de los 100 primeros bytes
La primera de estas herramientas es TrID [3]. Se trata de un de cada archivo, de modo que puede identificar el contenido
comando que permite identificar cualquier tipo de archivo. del mismo y, por tanto, la extensin ms adecuada. La
Reconoce ms de 3700 tipos de ficheros. El programa extrae aplicacin consta de un archivo ejecutable (P10XB.exe) y un
patrones reconocibles y los compara con su propia base de archivo con la base de datos de marcas (marcas.ini), que
firmas. En caso de duda, mostrar todas las posibles contiene la informacin necesaria para devolver la extensin
extensiones del archivo junto a un porcentaje de probabilidad. ms probable de cada archivo. La aplicacin slo permite abrir
La aplicacin consta de un archivo ejecutable (TrID.exe) y archivos de uno en uno, por lo que puede resultar bastante
de un archivo de firmas que tambin debe descargarse y tedioso si se pretende chequear un gran nmero de archivos.
ubicarse en el mismo directorio que el ejecutable Sin embargo, como complemento a la aplicacin anterior,
(TrIDdefs.trd). Para su ejecucin, es preciso abrir la consola de puede resultar de utilidad, sobre todo con aquellos archivos en
comandos (cmd). Al tratarse de un comando, puede analizar los que pueda existir algn tipo de dudas sobre su formato, tras
directorios enteros. Adems, tambin permite corregir haber sido analizado con TrID.
automticamente las extensiones que detecte que son errneas En la figura 9 se muestra un ejemplo de ejecucin.
por las ms probables en cada caso (mediante el parmetro
ae). Posibilita al usuario conocer las primeras nn coincidencias
(parmetro r:nn), por si un archivo muestra probabilidades de
pertenecer a ms de una clase de ficheros. Finalmente, indicar
que se trata de una herramienta portable y que ocupa menos de
30 Kb.
A modo de ejemplo, se muestra la evaluacin de todos los
archivos de una ruta especificada (Figura 8):
trid ..\..\ficheros2\*.*
Figura 9. Comprobacin de la extensin de un archivo, mediante

P10XB.
Recuperacin de archivos borrados
De los trabajos presentados en el anlisis forense realizado,

se han recuperado los archivos que se mostraban en la figura
2.a).
Para cada uno de los archivos recuperados, tras un chequeo
de los mismos, se ha podido constatar que, efectivamente, la
extensin se corresponde con el tipo de archivo adecuado.
VIII. RECUPERACIN DE LA MEMORIA USB UTILIZADA TRAS

USAR OSFCLONE
Cuando se utiliza OSFClone con una memoria USB de ms

Figura 8. Comprobacin de extensiones de archivos en la consola de 2 GB, sta quedar con un tamao de 2 GB. Para recuperar
de comandos, mediante TrID. el tamao original y recuperar as toda la capacidad de
almacenamiento hay que volver a formatearla. Si se realiza con
Windows, el espacio no se recupera totalmente con un simple
formateo, sino que habra que seguir los siguientes pasos:
154
Abrir la consola de comandos y seguir los siguientes pasos: BIBLIOGRAFA Y REFERENCIAS

[1] OSFClone / ImageUSB / OSFMount
http://www.osforensics.com/products.html
1)DISKPART [2] Eraser
http://eraser.heidi.ie
2)LISTDISK(aparecerunalistadetodoslos
[3] TrID
discosdelequipo) http://mark0.net/soft-trid-e.html
3)selectdisk1(ojo!Hayqueseleccionarel [4] P10XB
discoquesequieraformatear,enelcasodel http://www.svcommunity.org/forum/salvadoreno/p10xb-no-te-preocupes-
ejemplo,elDISCO1.Muchocuidadoconlas por-la-extension-de-tus-archivos-nunca-mas!
equivocaciones). [5] MiniTool
http://www.minitool.com
4)clean
[6] Pandora Recovery
5)createpartitionprimary http://www.pandorarecovery.com
6)formatfs=NTFS [7] EaseUS Data Recovery Wizard Professional:
7)exit http://www.easeus.com/datarecoverywizardpro
[8] Stellar Phoenix Windows Data Recovery:
http://www.stellarinfo.com/es/recuperaciondeinformacion.htm
[9] 15 aplicaciones gratis para recuperar archivos borrados
http://www.emezeta.com/articulos/15-aplicaciones-gratis-para-recuperar-
archivos-borrados
IX. RETO PROPUESTO [10] La imagen USB clonada bit a bit para realizar el reto:
https://mega.nz/#!uwNBGaAS!b0oan1JRr-
Para practicar todos los conocimientos adquiridos en este 9emCG_8p21OKMVE8P1RMnjH25MsnmbaaM
trabajo, en [10] se presenta una imagen de una memoria USB
de tamao pequeo, que ha sido borrada de forma segura para
eliminar todos los archivos previos. Sobre ella, se han copiado
10 archivos de extensiones diferentes, y se han renombrados
con nombres F00, F01 F10. A estos archivos se les ha
eliminado tambin su extensin, para dificultar su
identificacin, y simular que el propietario de los mismos ha
camuflado sus archivos importantes. Tras copiar en la memoria
estos 10 archivos (con nombres genricos y sin extensin), se
han eliminado 5 de ellos para tratar de recuperarlos con
posterioridad. Es decir, todas las tareas del apartado VI de este
trabajo se han realizado ya sobre la memoria almacenada en
[10].
Sobre esta imagen, el reto propuesto consiste en realizar un
estudio forense para estudiar los ficheros existentes,
asegurando sus extensiones y buscando los posibles archivos
borrados que en ella existan. Es decir, se propone que se
repitan todas las tareas descritas en el apartado VII de este
trabajo.
X. CONCLUSIONES
El presente reto ilustra cmo realizar un clonado de un disco
duro sospechoso de contener informacin sensible en una
investigacin, para preservar inalterada esta prueba.
Tambin se expone el procedimiento para recuperar archivos
borrados en la copia clonada del disco duro confiscado, y la
forma en que se verifica que la extensin de los archivos
existentes en el disco duro es correcta.
Por ltimo, se propone un enlace a un archivo imagen de una
clonacin de otra memoria USB para que el usuario practique
la recuperacin de archivos y la comprobacin de extensiones
de los mismos.
Siguiendo estos pasos, puede decirse que cualquiera que
supere este reto estara en condiciones de realizar un anlisis
forense de cualquier disco duro.
155
Research-to-market transition in European

cybersecurity projects
Aljosa Pasic
Atos Spain
Aljosa.Pasic@atos.net
Abstract - One of the main goals of SecCord project is to

analyze the portfolio of European cybersecurity research results
and map it to the ongoing ICT security market trends in order to
find the gaps and potential strategies for the future directions in
research-to-market transition. The methodology combines
analysis of industry priorities (e.g. derived or linked to trends,
strategic agenda, demand etc) with a bottom up information
gathering from EU projects (e.g. survey, face to face interviews,
etc.). We present several findings from this analysis, together with
the identified constraints, best practices and recommendations.
results transition. The methodology combines use of market
or industry mapping issues (e.g., market trends, tech watch,
I. INTRODUCCIN strategic agenda, demand mapping etc) with a bottom up
Research projects often view cybersecurity challenges in approach of experience gathering from EU projects (e.g.,
isolation and it can happen that fragmented and market- stakeholder survey, face to face interviews, etc.).
disconnected approach leads to weaknesses in the The remaining part of this paper is structured as follows:
exploitation and research-to-market impact. From a financial the essence of industry requirements and setting priorities for
perspective, it is possible to optimize expenditure on security research projects is analyzed in the chapter 2, while research
research in line with the industry priorities. From an outcomes translation and technology transfer is described in
operational perspective, however, security research efforts the chapter 3. Analysis of drivers and barriers, in the specific
may not achieve the intended impact due to the time context of FP7 programme and the transition towards the
mismatch: market is often looking for the right solution in recently started H2020, is described in the chapter 3. We end
the right moment. Research results are at risk to arrive too with the description of success stories and the conclusions.
late or too soon. We should mention that readers wishing to have more
Superior research results or technology is not a guarantee details should check public deliverables of SecCord project1
for the market success. Research efforts might fail to or CSP forum2 website (this forum is set up by SecCord but
consider how humans react to and use technology. They also is expected to live beyond the project lifetime).
have to understand market specifics for security and privacy,
for example, how the overall value chain depends on II. CURIOSITY VERSUS MARKET DRIVEN
different IT services, from consulting to operations. Any RESEARCH
security market model must recognize and accommodate
The majority of industry-driven strategic research agendas
dynamic relationships, as well as the fast evolving trends.
(SRA) produced in the recent years for security and privacy
SecCord is EU co-funded coordination and support action
research, as well as more focused CYBERSECURITY
that provides services for the Trust and Security (T&S)
AREA roadmaps (e.g. from two networks of excellence,
research part of FP7 and H2020 programmes. Among its
namely crypto and secure software engineering), are
objectives, SecCord aims at analyzing the potential and
produced with some kind of bias. This is natural, since the
market impact of T&S project results by maintaining a
positions reflect particular organizations or researcher
catalogue and showcase of results, highlighting best
interests. One of the main shortcomings of SRA-driven
practices, and by interpreting and matching them against use-
approach for setting future research priorities is the lack of
cases of current and foreseen market trends.
involvement of cybersecurity demand side that is end users,
This paper provides a selection of the main findings
which, in the general terms, is also poorly represented in
regarding research-to-market transition, as well as the
initiatives such as the NIS platform. Another problem that we
selection of best practices from various EU cybersecurity
analysed in SecCord is discussing future priorities at the
projects. Over three years, the portfolio of FP7 research
results was analyzed, in order to find the gaps and potential 1
http://www.seccord.eu/
strategies for the future directions in research to market 2
http://www.cspforum.eu/
156
different level of abstraction. Challenges, incl. societal expectations (and customer itself) are becoming one of the
challenges that are more integrated to security research in key to success on the market. When it comes to research
H2020, are often used to describe priorities, while projects, however, demand side if often unable to predict the
evergreen topics such as identity or privacy usually get future requirements or trends, which clashes with the EU
repeated year by year without clear description or reasoning research project format and style.
why the particular research topic has priority right now. Effective and efficient security, terms used often in
Impact assessment [1] reports are commonly used by the security metrics, are often differently understood by demand
European Commission (EC) to analyze research-to-market and supply sides. In a matter of fact, cybersecurity research
constraints, barriers or challenges, but cybersecurity (or Trust results often do not fit well operational context of the final
and Security, as it was called in the start of SecCord project) user, so the actual use case is never transferred to a business
area represent also a set of specific issues. case.
During the past three years many ICT security vendors, as Two other two topics where we noticed gaps in research
well as traditional defense market players, are restructuring topic selection and priority setting are the importance of
their offering and are becoming increasingly labeled as socio-technical issues and cybersecurity risk appetite.
cybersecurity companies. However, the questions that are Demand side, the final user, starts from the particular
most frequently raised on the demand side, remain the same: operational context, with their procedures and people who
What exactly do I need? What applies to my business? How are finally responsible for research results technology
should I compare different (cyber) security solutions? This acceptance. Ability, capacity, bias, attitude, cultural
is why demand side segmentation, as well as alignment of differencesare some of the factors that have been
priorities from both supply and demand side, when it comes considered by research-to-market transition but are often
to future research directions, becomes a priority in strategic neglected in actual research projects and their exploitation
agenda. This can be exemplified by the case of SME: while plans. Risk appetite, on the other hand, has more impact on
SME supply chains are often critical in certain market preparedness of an organization as a whole. While personal
segments, their cybersecurity profiles and needs have been attitude (I click on that file, I have nothing to lose, I have
notable absent from research agendas. This is also why nothing to hide) is normally addressed through enforcement
Network and Information Security (NIS) platform working of organizational security policies or awareness campaigns,
group 3 (WG3) structures its strategic research agenda [2] the overall organizational risk attitude and risk management
around three areas of interest (AoI) which represent is something that strongly varies across sectors, countries or
perspective of Individuals Digital Rights and Capabilities, sizes of company, and this is where further segmentation and
Resilient Digital Civilisation and Trustworthy (Hyper- priority setting exercise come into the picture for demand-
connected) Infrastructure. Along these AoIs, three subgroups supply matching and driving of research priorities.
were formed aiming at further elaborating the areas. After the
initial elaboration of each Area of Interest, a cross analysis III. FP7 CYBERSECURITY RESEARCH-TO-
phase was performed in order to verify the presence of MARKET SUCCESS STORIES
commonalities among enablers/inhibitors for different AoIs
as well as possible conflicts, e.g. an enabler for an AoI
becomes an inhibitor for another one. The problem of translation of results is not exclusively
In contrast to demand driven research or innovation driven problem between academics and industry. Even within large
research, which is not necessarily delivering superior organizations that participated in FP7 cybersecurity projects,
technology, but rather fit-for-market solutions, curiosity translation and transition problems start already with the
driven research often relies on assumptions, such as no project proposal where there is no clear business unit or
legacy. Security for ICT professionals, on the other hand, organization branch actually in charge of commercialization.
such as basic crypto or secure software engineering, is The problem is less present within SME participants that do
stressing importance of awareness by the vast majority of not have separated research lab department or even separated
developers, as well as organizations. Good news is that legal entity in charge of research projects. The actual analysis
services, testbed and toolkits, for example, are increasingly of stakeholder roles, characteristics (e.g. innovation model in
available for providing support for the modelling of high- different organizations) etc., was done in SecCord
level requirements that are expressed in terms of abstract deliverables and it was reused by NIS platform, in order to
concepts such as compliance, privacy or trust. In this way the reveal importance of business motivation behind
gap between ICT professionals, digital natives or participation in FP7 research projects. Academic research
experienced developers and the rest of mortals could be driven projects, on the other hand, tend to emphasize
bridged or at least reduced. importance of a product, and only recently there was a
When we look at dynamics of cybersecurity research change in this trend by including more service companies,
priority settings, there is often a gap between demand-side consultants or auditors, as well as ecosystem organizations
and supply-side industry. Managing demand-side such as market analysis or even pure marketing companies.
157
Once that value proposition is identified and described, not that target evidence gathering for continuous
in terms of technological superiority, but rather in business monitoring based audit and certification, there is
and market terms, exploitation risk assessment is taking CUMULUS, while monitoring SecLA is
place, addressing issues such as: developed in ABC4Trust and used in SPECS.
Fragmentation of ownership PLA monitoring is topic in A4cloud project,
User requirements that do not fit project lifecycle while MASTER was monitoring security policy
and needs in general. Similar to A4Cloud, the project
Assumptions and simplifications done in the SECCRIT also aims to develop technologies to
research project lawfully monitor and record service data together
Lab versus operational environment with on-the-fly anonymization of data to meet EU
Maintenance issues (know-how, costs etc.) privacy directives. This recorded data can later be
In the previous SecCord year catalogues have already used to assist a root-cause analysis in case of a
identified few positive examples and have compiled success service failure. Research results from this area are
stories brochure [3]. The selection of success stories was still waiting to be adopted by the market, partially
based on assessment done through iterative research-to- because of their intrusiveness and partially due to
industry mapping (see table in the annex to this paper) with the assumptions about infrastructure readiness
feedback collection and face to face interviews. (e.g. availability of continuous monitoring of
Some of the most successful project have been already events at different layers).
reused by another project e.g. SEMIRAMIS project result Policies and languages: Research on information or
became attribute collection service ACS used by many EU data-centric approaches is focusing on policies,
member states in Stork2.0 [5] innovation project, as well as languages, machine readable representations etc.
listed as a building block (BB) in European eSense [7] Some of this research assumes the use of
reference architecture and Strategic [4], another two semantic technologies for data representation and
innovation projects. The research result is now in operational exchange, and expressing requirements as formal
environment of infrastructure that supports mutual policies. Another approach, sometimes referred as
recognition of eID several EU member states. In a similar sticky policy, attaches policies that restrict
way, FIWARE [6] security enablers were reusing results of isolated uses of data to the data directly, so that
PrimeLife (privacy), Consequence (data handling), Posecco systems exchange data, but also exchange the
(security monitoring) and Serenity (context aware policies pertaining to the exchanged data.
reconfiguration) projects. However, after integration and ASSERT4SOA is one example of projects in this
performance problems were reported by FIWARE users, the category, the other ones being Consequence or
new set of generic enablers, developed from the scratch, are Coco-cloud. The role of machine readable
now used by FIWARE applications. agreements in digital single market (privacy level,
If we look at other related FP7 research projects, we could security, data sharing etc), their monitoring and
classify research topics into several categories: enforcement has been analyzed in [8] or [9].
Crypto: Research on cryptographic algorithms and Machine learning: research on e.g. analytics,
protocols. This research is often targeting laws of prediction of future vulnerabilities, a process
the existing protocols and is trying to improve mining tool (prosecco), dealing with untrusted or
them. One of the best examples is Direct incomplete evidences, risk reasoning etc.
Anonymous Attestation (DAA) which detected MASSIF and PDA tool from Fraunhofer is one
flaws in remote attestation, one of the basic example.
concepts of Trusted computing. Hybrid approach Others: Tools, models and schemes can be found in
is combining DAA and privacy CA (certification many research projects, from visualization of
authority), while another extension of DAA is large data sets (VIS-SENSE) to certification
called enhanced privacy ID (EPID). Companies scheme in CUMULUS. Model based refinements
such as IBM, HP or Intel have been involved in (security/risk/testing) and other assurance
these research efforts and are offering some of techniques can be found in NESSoS Network of
research results as a part of their offerings. excellence, SpaciOS or Avantssar projects.
Architectures: Research on runtime security,
spanning various infrastructure elements such as For a more detailed analysis and mapping of research
event monitoring, assessment and automated results, into the global trends such as big data, internet of
reaction. The approach is used for enforcement of things or cloud computing, we refer reader to SecCord
different policies e.g. privacy, SecLA (security deliverables.
level agreement) etc., but also for the evolution of
management and detection tools. Among projects IV. CONCLUSIONS
158
For many years, analysis of research projects impact on [8] Enabling Trusted European Cloud: Atos white paperavailable at
http://atos.net/content/dam/global/documents/we-do/atos-white-paper-
market was focusing on constraints, such as an excessive trusted-european-cloud.pdf, last access 29/07/2015
time from proposal preparation to the end of the project. In [9] Atos blog entry on digital single market: https://ascent.atos.net/digital-
H2020 this time has been reduced, with instruments like single-market-building-trust/, last access 29/07/2015
innovation actions or introduction of TRL (technology
readiness level) requirements. It has also been stated that
research fails to provide basis of innovation, that the
opportunity is not recognized on time, or that a potentially
successful product failed to catch on due poor marketing or
just unfortunate market dynamics.
Besides the analysis of constraints, SecCord has also been
looking at best practices from FP7 cybersecurity research
projects such as having results launched even after the first
year of the project (this is for example now expected in
innovation action instrument in H2020). Result oriented
structure of projects and result oriented partners should be
dominant in cybersecurity, as opposed to the tick the box
attitude, and project oriented mind (the majority of web sites
is still informing about e.g. project meetings and not about
concrete results). In this paper we have analyzed research-
to-market impact from complementary perspectives. On one
side there is industry led research priority setting, that has
been changing since FP6 European technology Platform
(ETP) towards the more weighted, balanced and all-inclusive
approach. On the other side are actual results from FP7
research projects among which are also results that will
never cross the chasm to the market, even if they achieved
technological goals set in the project proposal. Somewhere in
the middle are vaguely described value propositions such as
stronger security, fine-grained policy or higher
assurance that sometimes do not find echo on the market,
especially on the demand side. The future, we envisage, will
shift focus towards key research-to-market transfer
indicators, with demand driven and defined parameters such
as effectiveness, efficiency and transformation, as well as
quick win approaches (e.g. iterative prototyping) during the
project lifecycle. Flexible instruments (e.g. open calls for
pilots or validations with customers, innovation awards) are
already being used in the other ICT innovation area, and it is
expected they could help in crossing the cybersecurity
research-to-market chasm.
REFERENCES
[1] European Commission (2011) Impact Assessment, Communication
from the Commission 'Horizon 2020 - The Framework Programme for
Research and Innovation, EC Brussels, 30.11.2011
[2] Strategic Research Agenda, WG3 Network and Information Security
(NIS) Platform, to be published in September 2015
[3] FP7 ICT Trust & Security Success Stories & Projects Handbook,
available at: http://ec.europa.eu/digital-agenda/en/news/trust-and-
security-fp7-success-stories-and-handbook, last checked 29/07/2015
[4] Strategic web site: http://www.strategic-project.eu/
[5] Stork2.0 web site: https://www.eid-stork2.eu/
[6] FIWARE web site: https://www.fiware.org/
[7] eSENS web site: http://www.esens.eu/
159
Cyber Ranges for Cybersecurity Training: Challenges

and Novel Approaches
Jorge Lpez Hernndez-Ardieta, Pascual Parra Lpez, David Santos Esteban, Javier Martinez-Torres
Cybersecurity Research Group, Indra Digital, Indra
{jlhardieta, pparra, dsesteban, jamtorres}@indra.es
Keywords: cybersecurity training; cyber range; computer-based training
Work published in:

Jorge L. Hernndez-Ardieta. Training in Cybersecurity: Challenges and Novel Approaches. NATO
Communications & Information Agency Industry Conference and AFCEA TechnNet International
(NITEC15), 7th May 2015. Madrid, Spain.
Jorge L. Hernndez-Ardieta, David Santos, Pascual Parra, Juan E. Tapiador, Pedro Peris-Lpez, Javier
Lpez, Gerardo Fernndez Navarrete. An Intelligent and Adaptive Live Simulator: A new Concept for
Cybersecurity Training. 9th Future Security Conference. Berlin, Germany. 2014.
ABSTRACT cybersecurity, and that is intended to support multitenant

activities. Cyber range solutions are gaining attention as a key
The consolidation of cyber threats as a primary concern of ally to support cost-effective training programmes in different
governments, the industry and society in general along with the civil and military contexts. Actually, during the last few years a
ever increasing diversity and complexity of technology lie number of cyber ranges for cybersecurity training have been
behind the recent explosion in the demand for highly skilled developed, both from the academy and the industry, as a
and trained cybersecurity professionals. In regard to this, much response to meet the market demand.
effort has been expended and many initiatives have been However, the results of a market analysis performed by the
pursued in recent years, both from academia (e.g. graduate and authors show that current cyber ranges still present limitations
postgraduate specialisations), industry (e.g. professional that leave most of the aforementioned challenges unanswered.
certifications, training programmes, technological training Consequently, there is still an urgent need for innovating new
platforms) and governments (e.g. standardisation of training approaches that solve the open problems. In particular, we will
curricula, joint education and training programmes at explore advanced technical capabilities that could be
international level). In spite of this, the reality shows that the incorporated into cyber ranges, and that eventually may help to
number of proficient cybersecurity professionals produced is turn around the current offer-and-demand problematic
still lagging behind the actual needs and, contrary to what may situation.
be expected, the situation is getting worse. To conclude, we will introduce iPhalanx, the solution that
In this talk we will introduce and analyse the key challenges Indra has recently released, and which represents a next-
that we observe in cybersecurity training, that require an urgent generation cyber range that, in our opinion, provides a
response if we want to redress the imbalance between the offer comprehensive and innovative answer to the challenges
and demand for cybersecurity professionals. Amongst these identified.
challenges we find issues such as cost-effective hands-on
training, specialisation diversity, entry knowledge barriers,
ACKNOWLEDGEMENTS
flexibility to deal with organisations with high rates of staff
rotation, continuous training, and rapid adaptation to new The first prototype of iPhalanx was produced in the SACO
threats and the evolution of technology. project. SACO was partially funded by the Spanish Ministry of
Traditional cybersecurity training platforms, such as those Economy and Competitiveness under the INNPACTO 2011
supporting individual computer-based training or e-learning, programme, Plan Nacional de Investigacin Cientfica,
have long been the only way to implement training Desarrollo e Innovacin Tecnolgica 2008-2011, ref. PT-2011-
programmes in cybersecurity. More recently, the introduction 1593-390000.
of cyber ranges has redefined how cybersecurity training is to
be approached. A cyber range is a virtual environment
typically built on top of standard hardware that is used for
hands-on training, experimentation, test and research in
160
Metodologa para el Anlisis, Auditora de Seguridad

y Evaluacin del Riesgo Operativo de Redes
Industriales y Sistemas SCADA (MAASERISv2.1)
Dr. Fernando Sevillano
Industrial Cybersecurity by Logitek
fernando.sevillano@logitek.es
Dra. MartaBeltrn
Universidad Rey Juan Carlos
marta.beltran@urjc.es
Resumen-. Dentro del proceso de mejora continua de la Para realizar este anlisis, existen diferentes metodologas de
ciberseguridad industrial aparece siempre como primer paso o evaluacin y anlisis de riesgo a alto nivel (asociadas riesgo
etapa la necesidad de analizar e identificar los principales activos
y vulnerabilidades asociados a los entornos OT (Operation estratgico) y por otro lado existen mejores prcticas
Technology) y llevar a cabo una gestin y evaluacin integral del propuestas por diferentes instituciones para analizar de forma
riesgo operativo. Para realizar este anlisis y evaluacin, es exhaustiva vulnerabilidades especficas asociadas a los
necesario contar con metodologas especficas que tengan en sistemas que se encuentran en los entornos de operacin.
cuenta la idiosincrasia particular de estos entornos de operacin. Teniendo en cuenta este contexto, la principal aportacin de
En este artculo se propone MAASERISv2.1 como Metodologa
para el Anlisis, Auditora de seguridad y Evaluacin de Riesgo este artculo es proponer una metodologa que se denomina
operativo de redes Industriales y sistemas SCADA. MAASERISv2.1, acrnimo de Metodologa para el Anlisis,
Auditora de seguridad y Evaluacin de Riesgo operativo de
I.INTRODUCCIN
redes Industriales y sistemas SCADA, que permite cubrir este
La ciberseguridad es una preocupacin cada vez ms hueco conceptual y funcional entre dichas metodologas de alto
importante en los entornos de operaciones industriales y de nivel y mejores prcticas a un nivel mucho ms concreto y
infraestructuras (tambin llamados Operation Technology-OT). asociado a los sistemas.
Como parte del proceso de mejora continua de la Para eliminar las barreras que auditores y consultores se
ciberseguridad o de incremento del nivel de madurez de estos encuentran a la hora de adaptar y/o utilizar metodologas de
entornos (hoy en da todava bastante bajo en comparacin con anlisis y auditora de IT clsicas, se propone MAASERISv2.1,
los entornos IT transaccionales), suele aparecer la necesidad de como una metodologa que considera la idiosincrasia particular
analizar e identificar los principales activos y vulnerabilidades de los entornos de operacin, en los que existen dispositivos,
asociados a los entornos OT y llevar a cabo una gestin y sistemas y protocolos especficos y en los que el aspecto de la
evaluacin integral del riesgo operativo. Con esto queremos disponibilidad, suele primar sobre otros como la integridad o la
distinguir este anlisis de otros tradicionales y ms asociados al confidencialidad.
riesgo estratgico, como se discutir posteriormente en este MAASERISv2.1 permite realizar un gestin del riesgo
documento. operativo y sus entregables pueden complementar a otras
Esta necesidad no slo surge en empresas y en metodologas de evaluacin de riesgos como MAGERIT,
organizaciones privadas que estn preocupadas por CRAMM o MIGRA por poner tan slo unos ejemplos.
incrementar la seguridad de sus activos, procesos e Este trabajo ha sido posible gracias a la estrecha
instalaciones (asociada directamente a su productividad, algo colaboracin existente entre Industrial Cybersecurity by
que estn comenzando a comprender ahora), sino que a nivel Logitek, consultora tecnolgica especializada en
gubernamental, tambin es considerada. La publicacin a nivel ciberseguridad industrial y la Universidad Rey Juan Carlos. La
mundial de leyes y normativas que obligan a operadores colaboracin pblico-privada y un correcto procedimiento para
crticos que suministran servicios esenciales a realizar este la transferencia tecnolgica son factores clave que han
ejercicio, es prueba de ello. Por ejemplo en Espaa, la Ley permitido desarrollar esta metodologa y comenzar a aplicarla
8/2011 de Proteccin de Infraestructuras Crticas (ley PIC), durante el ao 2015 en diferentes proyectos reales en sectores
obliga a los operadores catalogados como crticos a llevar a como el alimentario, el farmacutico o el del ciclo integral del
cabo, dentro de los Planes de Seguridad del Operador (PSO), agua.
un anlisis de riesgos en los que se incluya un inventario de Este artculo se estructura de la siguiente manera. En la
activos que soportan servicios esenciales, una identificacin y seccin II se presentan las diferencias existentes entre los
evaluacin de amenazas y una valoracin y gestin del riesgo. entornos IT y OT y cmo es necesario abordar programas de
161
ciberseguridad distintos en ambos entornos, pero siempre se ha visto cada vez ms amenazada en los ltimos aos con el
alineados y convenientemente integrados. En las secciones III surgimiento de diferentes formas de APTs especficas como
y IV se hace un recorrido por los conceptos de amenaza, Stuxnet, Duqu, Flame, Shamoon, Dragonfly, Sandworm o
vulnerabilidad y riesgo, y por las metodologas y herramientas Laziok y la realizacin de acciones relacionadas con el
ms habituales para el anlisis y la gestin del riesgo. Por ciberterrorismo y el cibercrimen (ataques orientados a
ltimo en la seccin V se presenta el alcance funcional de perjudicar a la competencia, a la extorsin, al robo de
MAASERISv2.1 y se presentan las principales conclusiones y propiedad intelectual, etc.). Otros puntos importantes que han
lneas de investigacin futuras en la seccin VI. ayudado a acelerar el diseo de programas especficos de
ciberseguridad industrial, son la proliferacin del acceso web a
II.SEGURIDAD IT VS OT los sistemas SCADA, la adopcin de los paradigmas Cloud,
mvil y BYOD (Bring Your Own Device) y la estandarizacin
El concepto Ciberseguridad Industrial est incluido en el de tecnologas IT en el mbito industrial. Esta estandarizacin,
mbito de la seguridad industrial, entendiendo que la que facilita la integracin de informacin y de aplicaciones
informacin, sistemas e instalaciones deben ser protegidos de entre redes IT y OT, tiene un aspecto negativo, que es que el
ataques y amenazas originados principalmente a travs de entorno industrial pueda verse afectado por las mismas
medios tecnolgicos. vulnerabilidades y amenazas asociadas al entorno IT heredando
El diseo de programas especficos dirigidos a reducir o as sus debilidades. Lo peor, es que en muchas ocasiones, la
mitigar dichas amenazas debe hacerse teniendo en cuenta que criticidad y especificidad del entorno industrial no permite
deben velar por asegurar: la disponibilidad de las instalaciones, implementar las mismas contramedidas que en un entorno IT
de los procesos de fabricacin y de los sistemas de control tradicional.
(PLC, DCS, RTU, SCADA, HMI, MES); la integridad de los Existen claras diferencias entre los mbitos IT y OT, que
desarrollos y de las configuraciones de los dispositivos de justifican la necesidad de abordar del desarrollo e implantacin
campo y redes industriales, as como la comunicacin entre de programas de ciberseguridad industrial especficos que estn
ellos a travs de protocolos especficos (Modbus, Profibus, alineados con las polticas de seguridad IT de la organizacin.
OPC, Ethernet/IP, DNP3, etc.) y la confidencialidad de la En la tabla 1 se resumen los aspectos que hacen que ambos
informacin que estos sistemas manejan. Tambin es esencial entornos requieran de aproximaciones distintas cuando se
garantizar un correcto control de acceso a los sistemas, datos y abordan programas de ciberseguridad.
procesos asociados a estos entornos mediante los esquemas
IAAA adecuados y con una eleccin del grano de control de
este acceso coherente. IT Aspecto OT
Confidencialidad, Disponibilidad,
El entorno o la red en la que convergen los sistemas, equipos Integridad y integridad y
Objetivo
y protocolos antes nombrados, recibe el nombre de red Disponibilidad confidencialidad
industrial. La literatura relacionada con la ciberseguridad 2/3 aos con la
10/20 aos con
industrial la denomina Operation Network u Operation existencia de gran
Ciclo de vida reducido nmero de
nmero de
Technology con el objetivo de diferenciarla de la red que proveedores
proveedores especficos
agrupa sistemas transaccionales (IT Network o IT Prctica habitual que
Evaluacin Prctica realizada si es
Technology). conduce a inversin
cuantitativa del riesgo obligatoria
en ciberseguridad
Mientras que en el mbito IT la incorporacin de polticas,
Desarrollo de sistemas
procedimientos y estndares que eliminen o mitiguen las Habitual e integrado No habitual y no
de gestin de la
en la operacin integrado
amenazas, vulnerabilidades y riesgos asociados a estos seguridad
entornos es una prctica habitual, en los entornos OT, su Comn , fcil de
Poco habitual por la
actualizar y con
introduccin est siendo ms costosa debido principalmente a: polticas bien Antivirus y parches
criticidad de los
la falta de concienciacin de las organizaciones sobre el hecho sistemas, complejo de
definidas y
desplegar y actualizar
de que, es en estos entornos en los que se produce, suministra o automatizadas
Cumplimiento Normativas especficas
fabrica el ncleo de su actividad y su no disponibilidad y/o Normativas genricas
normativas y/o sectoriales
alteracin puede causar prdidas y daos considerables que Utilizacin de las Test especficos e
afectan directamente a la cuenta de resultados; la falta de metodologas
Testeo y auditoras
inexistencia de
procedimientos y estndares claros que ayuden a desplegar estndares ms metodologas
actuales estndares
programas especficos de ciberseguridad industrial y por
Fcil despliegue y en Respuesta a Poco habitual, no
ltimo, la idiosincrasia particular de los equipos, sistemas,
ocasiones carcter incidencias y anlisis realizndose anlisis
redes y protocolos de comunicacin utilizados en estas redes de obligatorio forense forense
operacin. En cualquier caso, en los ltimos aos ha crecido el
Tabla 1. Diferencias entre ciberseguridad IT y OT
inters por este tipo de programas entre las organizaciones
industriales por diferentes motivos. En primer lugar, la
seguridad de las plantas industriales e infraestructuras crticas
162
diferentes fabricantes, los desarrolladores o las comunidades de

III. TIPOS DE AMENAZAS, RIESGOS Y cdigo libre. Es decir, como mnimo, todas aquellas que se
VULNERABILIDADES EN ENTORNOS OT recogen en el Common Vulnerabilities and Exposures (CVE)
estaran incluidas aqu. Adicionalmente, existen bases de datos
Aunque en esencia las definiciones tradicionales de estos de vulnerabilidades especficas para entornos industriales.
tres conceptos son aplicables cuando se trasladan al entorno Entre ellas destaca la que proporciona el Industrial Control
industrial y/o de infraestructuras crticas, a continuacin se System Cyber Emergency Response Team (ICS-CERT), en la
procede a incorporar una serie de matices en dichas que pueden observarse todas las vulnerabilidades de los
definiciones. principales fabricantes de dispositivos y sistemas industriales.
A. Amenaza Adems, cabe mencionar, que estos a su vez, disponen de
En los entornos OT se define una amenaza como la causa espacios web y de boletines especficos en los que se detallan y
potencial de un incidente no deseado, el cual puede resultar en amplan dichas vulnerabilidades.
un dao sobre un sistema vinculado a la red de operacin o a Las vulnerabilidades de arquitectura son las que se producen
los procesos industriales que se llevan a cabo o al entorno al desplegar estas soluciones en el entorno de produccin,
fabril en el que dichos sistemas y procesos convergen. pudiendo ser de software, hardware o comunicaciones. En este
La European Union Agency for Network and Information caso, tambin se habla de debilidades ms que de
Security (ENISA) ha publicado recientemente el informe vulnerabilidades. De hecho, en paralelo al CVE, se ha
ENISA Threat Landscape 2014 en el que se detallan las desarrollado el Common Weakness Enumeration (CWE) con el
principales ciberamenazas emergentes que afectan actualmente propsito de realizar esta diferenciacin entre vulnerabilidad
a las organizaciones y en el que se analizan los principales (de cdigo) y debilidad (de arquitectura, relacionada ms bien
vectores de ataques utilizados [1]. Dentro de este informe, en con el despliegue que con el diseo).
su pgina 60, se hace mencin especfica a lo que ENISA Por ltimo las vulnerabilidades de procedimiento son las
denomina como Cyber Physical Systems (CPS, lo que en este que se producen por negligencias o malas prcticas de los
artculo se ha definido como red o entorno OT) y su relacin usuarios o de los administradores.
con la proteccin de infraestructuras crticas. Es decir, el
informe analiza la importancia que tiene este tipo de sistemas C. Riesgo
para realizar eficientemente los procesos asociados a Se define el riesgo como la probabilidad de que una amenaza
organizaciones industriales o vinculadas al sector energtico y determinada explote una vulnerabilidad de un activo o grupo
cmo el ataque y/o alteracin de estos, est estrechamente de activos y por lo tanto cause un perjuicio sobre la
relacionado con la proteccin de infraestructuras crticas. organizacin. Como se ver ms adelante, la mayora de
Adems, el informe identifica las diez ciberamenazas metodologas consideran el concepto de riesgo desde un punto
emergentes que afectan directamente a los CPS: la aparicin de de vista estratgico. Asociado el mbito OT, se emplea en este
malware especfico o malware que utiliza vulnerabilidades trabajo el concepto de riesgo operativo, definindose como la
asociadas a los sistemas CPS para alcanzar sus objetivos, probabilidad de sufrir un incidente de seguridad a nivel
aparece en el primer lugar de las amenazas emergentes. Le operativo. Es decir, vinculado a un entorno de produccin o
siguen las amenazas producidas utilizando como vectores de una infraestructura crtica, la existencia de un determinado
ataque los entornos web (en los que se incluyen el spam o el riesgo afectara a la normal operacin de sus sistemas, procesos
phising), el dao fsico o robo causado en entornos industriales, y personas.
la existencia del usuario interno malicioso y el ciberespionaje,
el robo de identidad, inyecciones sobre sistemas de IV.METODOLOGAS Y ESTNDARES PARA EL
historizacin y directorios activos y el robo de informacin ANLISIS DE RIESGOS EN ENTORNOS INDUSTRIALES
confidencial. Cabe mencionar con los ataques de DDoS no se E INFRAESTRUCTURAS CRTICAS
incluyen en esta clasificacin por no tratarse tanto de una
amenaza, sin ms bien del efecto que se puede causar sobre un El anlisis de riesgos se basa en la utilizacin sistemtica de
entorno industrial utilizando para ellos distintos patrones de la informacin disponible para identificar peligros y estimar los
ataque. riesgos. ENISA detalla en [2] hasta un total de 17 metodologas
para la evaluacin cuantitativa del riesgo (aunque existen ms,
B. Vulnerabilidad estas son quizs las ms empleadas en Espaa y Europa). Entre
Por otro lado, se define vulnerabilidad como una debilidad ellas se encuentran las siguientes: Austrian IT Security
de un activo o control que puede ser explotada por una o ms Handbook, Cramm, Dutch A&K Analysis, Ebios, ISAMM, ISF
amenazas. Aunque existen numerosas formas de clasificar las Methods, ISO/IEC 13335-2, ISO/IEC 17799, ISO/IEC 27001,
vulnerabilidades, fundamentalmente existen tres grandes IT-Grundschutz, Magerit, Marion, Mehari, MIGRA. Octave,
familias: de cdigo, de arquitectura y de procedimiento. RiskSafe Assessment y NIST SP800-30. Aunque existen otras
Las vulnerabilidades de cdigo son las que presentan las metodologas [3], las 17 seleccionadas por ENISA, representan
tecnologas, productos y/o dispositivos que comercializan los aquellas que estn ms extendidas en el mbito de las
163
tecnologas de la informacin (IT). Por otro lado, en [4] y bajo entornos OT. Aunque estas ltimas ayudan a realizar un
el paraguas del European Programme for Critical Infrastructure anlisis exhaustivo, no existe ninguna metodologa o gua que
Protection (EPCIP), se detallan 21 metodologas para la permita evaluar el riesgo operativo asociado al funcionamiento
evaluacin de riesgos en infraestructuras crticas. Entre ellas no seguro de los dispositivos de campo, sistemas de tiempo
destacan BIRR, BMI, CARVER2, CIMS, CIPDSS, CIPMA, real, redes, protocolos especficos y procesos vinculados a los
CommAspen o COUNTERACT. entornos industriales y de infraestructuras de manera global e
Las primeras desarrollan la evaluacin de riesgos desde un integrada. Para cubrir este hueco conceptual y funcional, en
punto de vista puramente IT. Es decir, este tipo de este artculo se propone una metodologa de anlisis que,
metodologas, no tienen en consideracin la idiosincrasia adems de identificar activos especficos vinculados a los
especfica de los entornos OT ya explicada en la seccin II de entornos de operacin, permite conocer de forma
este artculo. Por otro lado, las metodologas explicadas en [4], multidimensional, las principales vulnerabilidades asociadas a
gestionan normalmente el riesgo a alto nivel, es decir, se dichos activos y permite llevar a cabo una gestin del riesgo
centran en evaluar los riesgos estratgicos. Por poner tan slo operativo. Esta informacin acerca del riesgo operativo, podr
un ejemplo, en el caso de la metodologa BMI (Baseline ser integrada como parte de otras metodologas especficas de
Protection Concept), utilizada por el ministerio de interior mbitos IT o como complemento de metodologas especficas
alemn, se presenta un marco para el desarrollo de planes que de evaluacin de riesgos estratgicos en infraestructuras
aseguren que organizaciones y sectores categorizados como crticas.
crticos, aseguren el suministro de sus servicios esenciales.
Todas ellas llevan a cabo una aproximacin al riesgo de alto V. MAASERISV2.1
nivel, es decir evaluando riesgos corporativos o estratgicos,
ms que riesgos operativos. Esto es, identificando activos MAASERISv2.1 (Metodologa para el Anlisis, Auditora de
fsicos y lgicos (relacionados normalmente con entornos IT), seguridad y Evaluacin de Riesgo operativo de redes
las dependencias entre ellos, y analizando las amenazas y/o Industriales y sistemas SCADA) es un conjunto de procesos,
vulnerabilidades que pueden tener diferentes orgenes herramientas y entregables que permiten:
(desastres naturales, errores y fallos no intencionados, ataques
deliberados, etc.). 1. Analizar el estado actual de una red industrial desde el
Por otro lado, estrechamente relacionadas con los entornos punto de vista de la seguridad, haciendo especial
industriales y de infraestructuras, se han desarrollado una serie hincapi en la evaluacin de la disponibilidad.
de mejores prcticas que persiguen ayudar a los operadores 2. Facilitar un profundo anlisis de las principales
crticos y a las personas vinculadas a equipos de mejora de la vulnerabilidades asociadas al entorno OT.
ciberseguridad industrial a realizar un anlisis exhaustivo de 3. Proporcionar una evaluacin cuantitativa del riesgo
vulnerabilidades asociadas a los entornos OT. El ICS-CERT, operativo.
recoge en [5] algunas de estas mejores prcticas. De entre ellas 4. Servir como documentacin complementaria y til para
se destacan la realizada por el Centre for the Protection of el desarrollo de los PSO (Plan de Seguridad del
National Infraestructure (CPNI) acerca de cmo realizar Operador) y los PPE (Plan de Proteccin Especfico)
evaluaciones de ciberseguridad en entornos industriales [6], la que la ley PIC (Proteccin de Infraestructuras Crticas)
elaborada por el National Institute of Standard Technologies exige en Espaa.
(NIST) para la creacin de programas para la gestin de
parcheos [7] o la publicada por el Sandia National Laboratories La versin 2.1 que se presenta en este trabajo es la que se
sobre pen-testing en sistemas de control industrial [8]. est utilizando actualmente, tras una evolucin de 18 meses
Por ltimo, es preciso mencionar la metodologa desde la primera versin 1.0.
desarrollada por el DHS Control Systems Security Program Para alcanzar estos objetivos, MAASERIS define tres reas
(CSSP) dentro del ICS-CERT [9], para conocer el grado de de anlisis; establece un ciclo de desarrollo de anlisis y
adecuacin de un entorno industrial a una serie auditora e incluye una serie de entregables y dossieres.
estndares/mejores prcticas predefinidas, entre los que se Y los retos ms importantes que se han tenido que afrontar
encuentran varias publicaciones especiales del NIST (SP800- para desarrollar esta metodologa especfica para entornos OT
53 R3, SP800-53 R4, SP800-82) o las propuestas por el North se pueden resumir en:
American Electric Reliability Corporation (NERC). Adems de
proponer la metodologa, se ha desarrollado una aplicacin que 1. Realizar el anlisis sin afectar a la disponibilidad de la
facilita su uso. Esta aplicacin es el Cyber Security Evaluation red industrial evaluada ni al correcto funcionamiento de
Tool (CSET). los procesos industriales (normalmente en
Como puede observarse, existe un espacio muy amplio entre funcionamiento mientras se realizan las pruebas y tests
las metodologas de evaluacin de riesgo estratgico y este tipo necesarios).
de mejores prcticas que se quedan en la mera identificacin de 2. Incorporar al anlisis todos los activos y agrupaciones
vulnerabilidades asociadas los sistemas ms frecuentes en los de activos existentes en el entorno OT evaluado
164
independientemente del fabricante, versin o grado de Operativo se calcula de la manera tradicional multiplicando los
obsolescencia. siguientes tres factores, la Ocurrencia (O), la Severidad (S) y la
3. Obtener informacin suficiente acerca de los Deteccin (D).
dispositivos OT involucrados en el anlisis con las
configuraciones actuales de la red industrial y con IRO=OSD
herramientas comnmente utilizadas. En muchos casos
ha sido necesario desarrollar herramientas especficas La ocurrencia (O), se define como la probabilidad de que el
para tecnologas y protocolos tpicos en entornos OT y riesgo aparezca. Se valora del 1 al 10, siguiendo los criterios de
que adems no sean intrusivas. asignacin que se muestran en la tabla 2.
4. Centrar el anlisis en el riesgo operativo, es decir, en
aquel vinculado al funcionamiento del entorno OT, 1 El riesgo es prcticamente imposible que aparezca.
dejando para otras auditoras y anlisis el entorno IT y el 2 El riesgo es muy difcil que aparezca.
riesgo estratgico. 3 El riesgo es difcil que aparezca.
5. Conseguir la colaboracin de los equipos de produccin 4 El riesgo ha aparecido alguna vez.
y sistemas durante el proceso de auditora, normalmente 5 El riesgo ha aparecido varias veces.
muy alejados de este tipo de anlisis. 6 El riesgo aparece ocasionalmente.
7 El riesgo aparece con frecuencia.
8 El riesgo aparece con mucha frecuencia.
A. reas de anlisis 9 El riesgo aparece siempre ya que no se mitiga.
Las reas de anlisis que establece MAASERIS son tres. En 10 El riesgo aparece siempre porque no existe mitigacin posible.
primer lugar se procede al anlisis de inventario de activos
Tabla 2. Criterios de valoracin para asignar la Ocurrencia de
vinculados al entorno OT. Para ello se ha desarrollado una base
riesgos operativos
de datos que facilita la introduccin y categorizacin de los
diferentes activos, as como las dependencias entre ellos. Entre
La severidad (S), indica la gravedad de los efectos que puede
los tipos de activos se encuentran los siguientes: concentrador,
producir la aparicin de un cierto riesgo. Es decir, si afecta a la
conversor, controlador DCS, datos, electrnica de potencia,
disponibilidad, integridad y confidencialidad de los activos
firewall/UTM, HMI / Touch Panel, maquinaria, PC, PLC,
objeto del anlisis. Se valora del 1 al 10, siguiendo los criterios
pantalla, periferia, protocolos, puntos de acceso inalmbricos,
de asignacin que se muestran en la tabla 3, para el caso de la
repetidores, robot, router, sistema de marcaje, servidor,
disponibilidad en el ejemplo de un activo cuya desviacin del
software de gestin en tiempo real y switch. Adems se
estado normal de operacin no implique peligro para las
procede a realizar una agrupacin fsica de activos (planta,
personas.
edificio, sala, rack, lnea, sistema, red) y una agrupacin lgica
(red, sistema).
1 El riesgo no afecta a la normal operacin.
El segundo rea de anlisis es la identificacin de
2 El riesgo afecta a la normal operacin, pudindose recuperar el
vulnerabilidades. A travs de diferentes tcnicas y
estado normal en menos de 5 minutos.
herramientas, en muchos casos desarrolladas a medida para
entornos OT aunque en otros casos se ha podido trabajar con
herramientas tpicas en IT (como las que incorpora la
distribucin Kali Linux), se descubren las distintas
vulnerabilidades que se asocian a los activos y a las
agrupaciones de activos. Para facilitar el trabajo inicial, se ha
estado normal en menos de 1 hora.
creado una lista de vulnerabilidades tipo vinculadas a las
siguientes dimensiones: seguridad fsica, polticas y 6 El riesgo afecta a la normal operacin, pudindose recuperar el
procedimientos, tolerancia a fallos y disponibilidad, visibilidad estado normal en menos de 4 horas
y acceso entre redes, software, IAAA y criptogrfica. 7 El riesgo afecta a la normal operacin, pudindose recuperar el
Por ltimo la tercera rea de anlisis es la gestin del riesgo estado normal en menos de 8 horas.
operativo. Como se ha explicado en la seccin III, el riesgo 8 El riesgo afecta a la normal operacin, pudindose recuperar el
operativo se define como la probabilidad de sufrir un incidente estado normal en menos de 12 horas.
de seguridad a nivel operativo. Es decir, vinculado a un 9 El riesgo afecta a la normal operacin, pudindose recuperar el
entorno de produccin o una infraestructura crtica, la estado normal en menos de 24 horas.
existencia de un determinado riesgo afectara a la normal 10 El riesgo afecta a la normal operacin, no pudindose recuperar
operacin de sus sistemas, procesos y personas. el estado normal.
Para medir el riesgo operativo se ha definido una mtrica Tabla 3. Criterios de valoracin para asignar la Severidad de
denominada ndice de Riesgo Operativo (IRO) que se mide en riesgos operativos
Unidades de Riesgo Operativo (URO). El ndice de Riesgo
165
1 El riesgo siempre es detectable. Cdigo Familia 2 Riesgos tcnicos no especficos OT

2 El riesgo es extremadamente fcil de detectar. R08 Intercepcin de comunicaciones
R09 Brecha de datos
3 El riesgo es muy fcilmente detectable.
R10 Dos y DDoS
4 El riesgo es fcilmente detectable. R11 Insider malicioso
5 El riesgo se detecta normalmente R12 Gestin ineficiente de la red
6 El riesgo se detecta frecuentemente R13 Escalado de privilegios
R14 Dao fsico (desastre natural, prdida o robo)
7 El riesgo es difcil de detectar. R15 Ingeniera social
8 El riesgo es muy difcil de detectar. R16 Prdida o compromiso de logs
9 El riesgo es extremadamente difcil de detectar. R17 Acceso fsico no autorizado a activos IT
R18 Acceso remoto no autorizado a activos IT
10 El riesgo es imposible de detectar.
Tabla 6. Familia de riesgos tcnicos no especficos OT
Tabla 4. Criterios de valoracin para asignar la Deteccin de
riesgos operativos
Cdigo Familia 3 Riesgos polticos, legales y de organizacin
R19 Cautividad
La deteccin (D), indica la probabilidad de no detectar el R20 Incumplimiento de regulacin alimentaria
riesgo antes de que se produzca un incidente. Se valora del 1 R21 Incumplimiento de polticas de licenciamiento
al 10, siendo 1 si el riesgo que se detecta siempre o casi Tabla 7. Familia de riesgos polticos, legales y de organizacin
siempre y 10 si no hay ninguna probabilidad de detectar el
riesgo. En la tabla 4, se muestran los criterios de asignacin.
Como su nombre indica, el IRO es un ndice que permite B. Ciclo de desarrollo de anlisis y auditora
determinar qu riesgo es ms frecuente, ms grave y ms difcil MAASERIS v2.1 establece la ejecucin del anlisis y
de detectar. Adems permite comparar y ordenar un conjunto auditora de seguridad en tres fases (preparacin, ejecucin y
de riesgos de mayor a menor (o viceversa) y establecer anlisis) que se llevan a cabo realizando las siguientes seis
prioridades. El valor mximo de IRO es 1000 y el menor es 1, etapas:
y como adelantbamos, se mide en Unidades de Riesgo
Operativo (URO). Cuanto ms alto sea este valor, mayor es el 1. Firma de compromiso y confidencialidad.
riesgo operativo al que el entorno OT se encuentra expuesto. 2. Recoleccin de informacin.
Por otro lado, con el objetivo de acotar mbitos de 3. Planificacin, diseo y seleccin/desarrollo/adaptacin
responsabilidad, se han definido tres tipos de familias de de herramientas de anlisis y auditora.
riesgos operativos: la familia 1 recoge los riesgos tcnicos 4. Recogida de informacin y anlisis de vulnerabilidades
especficos OT. Como su propio nombre indica son riesgos (se emplean tcnicas de caja negra, gris y blanca,
vinculados a la idiosincrasia de los entornos de operacin depende del entorno OT y del activo o grupo de activos
(Operation Technology). La familia 2 recoge riesgos tcnicos analizado).
no especficos OT, hay que tener en cuenta que en todos los 5. Anlisis de informacin y determinacin/priorizacin de
entornos OT actuales se incorporan cada vez ms tecnologas y riesgos.
soluciones tpicas o estndares en IT. En este caso, son riesgos 6. Presentacin de resultados.
que pueden afectar al entorno de operacin, pero que podran
encontrarse tambin en los entornos transaccionales o IT Para cada una de estas etapas, se han desarrollado una serie
(Information Technology). Y por ltimo la familia 3 recoge de definiciones, actividades y puntos crticos a tener en cuenta.
riesgos polticos, legales y de organizacin, es decir aquellos
riesgos asociados a cuestiones organizativas, polticas y C. Entregables y dossieres
legales. Por ltimo, en la tabla 8, se muestran los entregables
Teniendo en cuenta estas tres familias, se proponen como estndares que se presentan al finalizar el proceso de anlisis y
punto de partida los riesgos operativos que se detallan en las auditora.
tablas 5, 6 y 7. Estos riesgos no son los nicos que pueden
aparecer, aunque cabe aclarar que estos son los ms habituales. Cdigo Entregable
RE01 Resumen ejecutivo
Cdigo Familia 1 Riesgos tcnicos especficos OT MA01 Inventario de dispositivos Ethernet
MA01_BBDD BBDD de inventario de actives y dependencias
R01 Intercepcin de comunicaciones industriales
MA01_anexo Procedimiento actualizacin BBDD inventario
R02 Brecha de datos industriales
MA02 Arquitectura de red actual
R03 Prdida de cdigos y desarrollos sistemas y dispositivos
MA02_anexo Mapa de arquitectura de red actual
R04 Compromiso del proceso
MA03 Informe multidimensional de vulnerabilidades
R05 Prdida o compromiso de histricos de proceso
RO1 Informe de riesgos operatives
R06 Acceso fsico no autorizado a activos OT
RO2 Mapa de riesgos
R07 Acceso remoto no autorizado a activos OT
Tabla 5. Familia de riesgos tcnicos especficos OT Tabla 8. Entregables estndares MAASERISv2.1
166
VI. CONCLUSIONES Y TRABAJO FUTURO [2] ENISA. Inventory of Risk Management / Risk Assessment Methods.
Julio 2015. http://www.enisa.europa.eu/activities/risk-
management/current-risk/risk-management-inventory/rm-ra-methods
En este artculo se ha puesto de manifiesto las diferencias
existentes entre los mbitos IT (Information Technology) y OT [3] G. Correa. Identificacin y evaluacin de amenazas a la seguridad de
infraestructuras de transporte y distribucin de electricidad. CIRCE,
(Operation Technology) de las organizaciones que pertenecen a UNIZAR, Junio 2012.
sectores industriales y/o manejan infraestructuras crticas. Estas
diferencias hacen imprescindible que la aproximacin al diseo [4] G. Giannopoulos, R. Filippini, M. Schimmer. Risk assessment
methodologies for Critical Infrastructure Protection. Part I: A state of the
y despliegue de programas de ciberseguridad IT y OT sea art. European Commission. Joint Research Centre. Institute for the
diferente, aunque siempre deban desarrollarse de manera Protection and Security of the Citizen. Noviembre 2012.
consensuada.
[5] ICS-CERT. Establishing and Conducting Asset, Vulnerability, and Risk
Tras definir los conceptos de amenaza, vulnerabilidad y Assessments. Julio 2015. https://ics-cert.us-cert.gov/Standards-and-
riesgo operativo, se ha realizado un recorrido por las References#conduct
principales metodologas de evaluacin y anlisis de riesgos y
[6] CPNI-Homeland of Security. Cyber Security Assessments of Industrial
por las mejores prcticas propuestas por diferentes Control Systems. Good Practice Guide. Noviembre 2010. https://ics-
instituciones para analizar de forma exhaustiva cert.us-
vulnerabilidades especficas asociadas a los entornos de cert.gov/sites/default/files/documents/Cyber_Security_Assessments_of_I
ndustrial_Control_Systems.pdf
operacin.
Una vez finalizado este recorrido, se ha detectado la [7] M. Souppaya, K, Scarfone. Guide to Enterprise Patch Management
necesidad de proponer una metodologa que cubra el espacio Technologies, NIST Special Publication 800-40 Revision 3. Julio 2013.
existente entre las metodologas de anlisis y gestin del riesgo [8] D. Duggan, et al, Penetration Testing of Industrial Control Systems,
estratgico y las mejores prcticas especficas de un tipo de Sandia National Laboratories, Report No SAND2005-2846P, 2005.
activo o grupo de activos. Esta metodologa se ha denominado
[9] ICS-CERT. Assessments. Julio 2015. https://ics-cert.us-
MAASERISv2.1, acrnimo de Metodologa para el Anlisis, cert.gov/Assessments
Auditora de seguridad y Evaluacin de Riesgo operativo de
redes Industriales y sistemas SCADA. MAASERISv2.1 define
tres reas de anlisis (anlisis de inventario de activos,
identificacin de vulnerabilidades y gestin del riesgo
operativo); establece un ciclo de desarrollo de anlisis y
auditora e incluye una serie de entregables y dossieres.
El desarrollo de este trabajo ha sido posible gracias a la .
colaboracin pblico-privada entre un grupo de investigacin
de una universidad pblica y una consultora especializada del
sector. Y su utilidad se est validando ya en numerosos
proyectos en clientes de diferentes sectores en todo el territorio
nacional. En la actualidad se sigue trabajando en mejorar y
completar la metodologa presentada en este artculo, en
concreto, automatizando en todo lo posible el trabajo de los
ingenieros durante la fase de recogida de informacin y anlisis
de vulnerabilidades y adecuando los entregables y resultados a
las exigencias de la ley PIC para los diferentes tipos de
operadores crticos.
AGRADECIMIENTOS
A David Soler y Santiago Ramrez por el trabajo realizado
en la implantacin y evolucin de la metodologa. A Josep
Rodrigo, Patxi Arruabarrena, Asier Olea y Fernando Campos
por su participacin en el equipo de trabajo multidisciplinar
que hizo posible la creacin de la metodologa. A Manuel
Meijueiro y a Jordi Rey por su apoyo a esta iniciativa desde la
direccin de Logitek.
REFERENCIAS
[1] L. Marinos. ENISA Threat Landscape 2014. ENISA, Diciembre 2014.
167
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
Repositorio de actividades autonomas para la

docencia de seguridad en sistemas informaticos
Francisco J. Ribadas-Pena, Ruben Anido-Bande, Vctor M. Darriba-Bilbao
Departamento de Informatica, Universidade de Vigo
Edificio Politecnico, Campus As Lagoas, S/N. 32004 Ourense
ribadas@uvigo.es, rabande@esei.uvigo.es, darriba@uvigo.es
ResumenEn este trabajo se describe nuestra experiencia con a reinstalarlos despues de cada sesion.
el uso extensivo de software de virtualizacion en la docencia El desarrollo de algunos ejercicios puede superar la dura-
practica de seguridad informatica. Se presenta un repositorio cion de las sesiones practicas, con la consiguiente perdida
de actividades autonomas que hacen uso de redes de maquinas
virtuales para ejercitar aspectos relativos a la seguridad en de tiempo para dejar el entorno como se encontraba al
redes y a la administracion segura de sistemas operativos y inicio de la sesion y la recuperacion del trabajo realizado
aplicaciones. Las actividades recopiladas han sido puestas en al inicio de la siguiente.
practica durante los ultimos anos, tanto en cursos convencionales Se requiere personal de apoyo experimentado para insta-
de una titulacion de Ingeniera Informatica como en ensenanzas lar y configurar los equipos necesarios y las herramientas
no regladas. Se presenta asimismo una herramienta grafica
multiplataforma que facilita el diseno y posterior simulacion de seguridad a emplear y para mantener en perfecto
de las redes de computadores sobre las que se desarrollan las estado los recursos de un laboratorio compartido.
actividades incluidas en nuestro repositorio u otras nuevas que Tomando en consideracion estos condicionantes previos, en
se deseen proponer. este trabajo describimos nuestra experiencia en la utilizacion
de una aproximacion similar a las descritas en [1], [2], [3]
y [8], basadas en el uso de herramientas de virtualizacion.
I. I NTRODUCCI ON
El uso de maquinas virtuales (MVs) para la construccion de
Buena parte de las competencias academicas relacionadas laboratorios y entornos de experimentacion es una practica
con la seguridad informatica aconsejan seguir una orientacion habitual en el campo de la seguridad informatica, tanto a
eminentemente practica. Se pretende que los estudiantes co- nivel profesional como en el ambito docente [9], [13]. La
nozcan las amenazas tpicas a la seguridad de los datos y de flexibilidad y las ventajas que aportan estas tecnologas en este
los sistemas de informacion y que adquieran una experiencia contexto son bien conocidas y eliminan o atenuan muchos de
que les permita ser capaces de enfrentarse a estas amenazas los problemas mencionados anteriormente. Trabajar con MVs
e implantar las medidas necesarias para evitarlas, detectarlas permite experimentar en entornos muy similares a los reales,
y contrarrestarlas. Asegurar el exito en la adquisicion de este con la ventaja del aislamiento, la facilidad de recuperacion ante
tipo de habilidades es particularmente difcil, ya que requiere errores o problemas y la posibilidad de replicar, comunicar y
la practica directa sobre entornos similares a los que se puedan compartir los experimentos realizados simplemente mediante
encontrar en el mundo real. Por ello, la situacion ideal [4], el intercambio de las imagenes utilizadas.
[5] sera aquella en la cual cada alumno dispusiese de un El esquema propuesto se describe en la seccion II y supone
entorno de red real sobre el que experimentar y poder manejar la evolucion y actualizacion del planteamiento previo presenta-
libremente distintas herramientas de seguridad, enfrentandose do por los autores en [6], simplificando al maximo las tareas
a casos de estudio cercanos a la realidad. de preparacion por parte del alumno y agilizando la puesta
Plantear estas actividades practicas sobre sistemas reales en marcha de las actividades practicas propuestas. Como
conlleva dificultades tanto tecnicas como de disponibilidad de resultado del empleo de este esquema se consigue ofrecer al
recursos que en muchos casos imposibilitan su realizacion. alumno, dentro de una unica maquina (bien sea un equipo de
Buena parte de los ejercicios relacionados con la seguridad, un laboratorio compartido o bien su propio equipo personal),
como simulacion de intrusiones y ataques o la instalacion de un entorno virtual con multiples computadores conectados
cortafuegos y medidas de proteccion, causaran numerosos formando pequenas redes, listos para ser usados y que contaran
problemas en un laboratorio compartido, ademas del riesgo con una coleccion de herramientas de seguridad de codigo
implcito que conllevan estas actividades. En [10] se senalan abierto, preinstaladas y configuradas.
algunos de los problemas del uso de laboratorios compartidos En la seccion III se presenta un repositorio de actividades
en la docencia de materias relacionadas con la seguridad practicas que hacen uso de este entorno virtualizado. Esta
informatica: coleccion recopila y estructura las actividades que hemos
Muchos ejercicios precisan acceso privilegiado al siste- empleado en los ultimos anos de docencia en el ambito de la
ma, lo que posibilitara usos maliciosos de los equipos. seguridad en sistemas de informacion. Se trata de una serie de
Muchos equipos pueden quedar en una situacion inesta- actividades de laboratorio que permiten introducir al alumna-
ble tras haber realizados ciertos ejercicios, lo que forzara doen el uso de herramientas de seguridad y promover el trabajo
168
Imagen base (base.vdi)

autonomo en la resolucion de problemas relacionados con la
Debian 7.0 (Wheezy)
seguridad y la proteccion de sistemas, con el objetivo final de Entorno grafico ligero LXDE (deshabilitado por defecto)
facilitar un aprendizaje fundamentado en la experimentacion VirtualBox Guest Additions 4.3.x
sobre situaciones reales. Como complemento a esta coleccion Servicios (desactivados por defecto):
de recursos, en la seccion IV se presenta una herramienta servidor web (Apache 2)
servidores inetd: telnetd, ftpd, fingerd
grafica multiplataforma que permite disenar y configurar de
servidor BD mysql
forma sencilla las redes virtualizadas donde se realizan las servidor smtp (postfix)
actividades propuestas. Finalmente, la seccion V presenta la servidor pop3, imap (dovecot)
evaluacion por parte del alumnado de las actividades realizadas servidor ssh (openSSH)
servidor ldap (openLDAP)
y las principales conclusiones del trabajo realizado.
Herramientas de seguridad:
analizador de protocolos WIRESHARK
II. E NTORNO P ROPUESTO escaner de vulnerabilidades: NESSUS y OPEN VAS
Nuestro objetivo principal es ofrecer un primer contacto, escaner de puertos NMAP (interfaz ZENMAP)
lo mas realista posible, con la administracion segura de redes matasploit framework
sistema de deteccion de intrusiones en red SNORT
y equipos, de modo que los estudiantes pongan en practica sistema de deteccion de intrusiones en host SAGAN
sus conocimientos de seguridad informatica en sistemas reales, cortafuegos: netfilter/iptables
empleando herramientas de seguridad de uso habitual y resol- interfaces iptables: Firestarter, Shorewall
viendo problemas practicos del mundo real. Como objetivos consola eventos IDS SNORBY
openVPN, openssl, easy-rsa, tinyca
secundarios, pretendemos minimizar el coste y la carga de otras: netcat (nc), hping3, iptraf, netstat-nat, tcptraceroute
trabajo que requerira el mantenimiento de un laboratorio Aplicaciones web vulnerables:
de seguridad dedicado, limitando la exigencia de requisitos OWASP WebGOAT (http://webgoat.github.io/)
especiales en los laboratorios docentes compartidos. Tam- Mutillidae (http://sourceforge.net/projects/mutillidae/)
Damn Vulnerable Web App (http://www.dvwa.co.uk/)
bien buscamos maximizar el aprovechamiento del tiempo de foro PHP vulnerable (desarrollo propio)
practicas del alumno, ofreciendole un entorno preconfigurado Wordpress 1.5.1.1
y adaptado especficamente a cada una de las actividades Software general:
practicas que se le propongan, reduciendo el tiempo y el clientes telnet, ftp y ssh
navegador web modo texto Lynx
trabajo extra necesario para su puesta en marcha. navegador web Mozilla Firefox
Para conseguir estos objetivos proponemos hacer uso de editores: vi, nano, jed, leafpad
tecnicas de virtualizacion. En la virtualizacion de sistemas nos Otras herramientas:
encontramos con un equipo anfitrion sobre el cual un software balanceo de carga basado en proxies (HAProxy)
LinuxHA (heartbeat, pacemaker)
especfico permite ejecutar uno o mas sistemas huesped de
Tamano de la imagen: aprox. 4,2 GB (1,9 GB comprimida)
forma simultanea. Desde el punto de vista de la docencia, estos
entornos virtualizados proporcionan numerosas ventajas [11] y Fig. 1. Descripcion de la imagen base comun empleada las actividades.
existe una variada bibliografa sobre su empleo en la docencia
de Sistemas Operativos, Redes de Computadoras o Seguridad
Informatica. Las maquinas virtuales (MVs) son faciles de crear TUAL BOX 5 , o soluciones basadas en estas como Vagrant 6 o
y son muy seguras, ya que es posible aislarlas totalmente de incluso el gestor de contenedores ligeros Docker 7 , al empleo
la red de docencia y del exterior. La mayor parte de las herra- de entornos especficos para el diseno de redes de MVs.
mientas de virtualizacion actuales contemplan la posibilidad de El primer caso es el mas habitual a la hora de realizar prue-
definir redes virtualizadas de complejidad arbitraria, sobre las bas o experimentos ocasionales o como una forma comoda de
que podran trabajar los alumnos. Permiten configurar una vez distribuir entornos preconfigurados y/o gestionar entregables
y distribuir a los alumnos imagenes listas para ser usadas, aho- por parte de los alumnos. En el segundo caso, nos encontramos
rrando tiempo de configuracion. Son razonablemente fiables y con herramientas que se abstraen del software de virtualizacion
la recuperacion ante catastrofes es sencilla, basta con retomar subyancente, ofreciendo mecanismos simplificados para la
las imagenes iniciales para reconstruir el entorno de practicas, configuracion del entorno virtualizado mediante documentos
lo que favorece la experimentacion, estimula la curiosidad y XML o incluso interfaces graficas propias. En este caso
posibilita el aprendizaje autonomo. tenemos ejemplos como Netkit [7], basado en la plataforma
de virtualizacion a nivel de sistema operativo User Mode
II-A. Uso de la virtualizacion de equipos y redes Linux(UML), Virtual Networks over LinuX (VNX) [12], que
Como senalamos, el uso de herramientas de virtualizacion a su vez es una evolucion de VNUML(Virtual Networks over
en el entorno docente es una aproximacion ampliamente User Mode Linux), tambien basada en UML, y que en VNX
utilizada. El tipo de uso que se hace de estas tecnicas va se ha abstrado de la plataforma de virtualizacion concreta
desde el empleo directo de herramientas convencionales como empleando el API de libvirt 8 e integrado el soporte para
QEMU 1 , Kernel Virtual Machine 2 , Xen 3 , VMware 4 o V IR - virtualizacion ligera mediante Linux Containers (LXC). En
1 http://wiki.qemu.org/ 5 https://www.virtualbox.org/
2 http://www.linux-kvm.org/ 6 https://www.vagrantup.com/
3 http://www.xenproject.org/ 7 https://www.docker.com/
4 http://www.vmware.com/ 8 http://libvirt.org/
169
TABLA I
L ISTADO DE ACTIVIDADES D ISPONIBLES Y H ERRAMIENTAS DE S EGURIDAD E MPLEADAS .
(a) S EGURIDAD EN REDES : SEGURIDAD PERIMETRAL
ACTIVIDAD DIFICULTAD HERRAMIENTAS / TECNOLOG IAS
Uso de Shorewall: DMZ con doble firewall media shorewall, nmap
Uso de Shorewall: DMZ con firewall de 3 interfaces alta shorewall, nmap
Tuneles con openVPN media openvpn, openssl, tinyca, shorewall
DMZ con firewall de 3 interfaces empleando NETFILTER/iptables media iptables, nmap
SNORT: sistema de deteccion de intrusiones en red media snort, barnyard2, snorby, scapy
SAGAN: sistema de deteccion de intrusiones en host media snort, barnyard2, snorby, syslog
(b) S EGURIDAD EN REDES : PROTOCOLOS SEGUROS

Analisis de protocolos y escaneo de puertos baja wireshark, nmap
Man in the middle sobre SSL en redes locales media ettercap, sslsniff, sslstrip
(c) D ESARROLLO SEGURO

Aplicaciones web inseguras: SQLi y XSS baja wordpress, webgoat, mutillidae, dvwa
Securizacion de aplicaciones web con mod-security media mod-security, wordpress, mutillidae, dvwa
(d) A DMINISTRACI ON DE SISTEMAS

Autenticacion centralizada en GNU/Linux: OpenLDAP y PAM alta openldap, pam, phpldapadmin, gosa
Despliegue de controlador de dominio AD sobre MS Windows Server 2008 baja windows server, active directory, ldap
Balanceo de carga con HAproxy baja haproxy
Alta disponiblidad con LinuxHA (heartbeat y pacemaker) media linuxHA, heartbeat, pacemaker
(e) T ESTS DE INTRUSI ON

Analisis de vulnerabilidades: openVAS y Nessus baja nmap, nessus, openvas
Explotacion de vulnerabilidades: Metasploit+Armitage sobre Metasploitable2 alta nmap, metasploit, armitage, metasploitable
ambos casos, Netkit y VNX, se trata de herramientas con Permite la ejecucion de una amplia variedad de huespedes 13
una clara orientacion docente y los respectivos equipos de sin requerir privilegios de administrador y permitiendo, si as
desarrollo mantienen un repositorio de laboratorios 9 10 se requiere, aislamiento total respecto al equipo anfitrion y
con diversos escenarios. Otras herramientas similares seran la red de docencia. Cuenta con una extensa documentacion y
el proyecto Marionnet 11 , originado como una interfaz grafica una amplia comunidad de usuarios. Desde el punto de vista
para Netkit y sin actividad reciente, y el simulador Grap- del diseno de nuestras actividades practicas, las principales
hical Network Simulator (GNS3) 12 con un enfoque mas ventajas que aporta esta herramienta y que han llevado a su
generalista, que permite experimentar con dispositivos CISCO empleo, son, por orden de importancia, las siguientes:
emulados mediante la herramienta Dynamips y que soporta la 1. Soporte multiplataforma. Se trata de una herramienta
inclusion de MVs basadas en V IRTUAL BOX dentro de las disponible para los sistemas operativos y las arquitectu-
redes emuladas. Para mas detalles, en [8] se presenta una ras mas usuales y que no impone restricciones especiales
pequena comparativa de algunas de estas herramientas y de respecto al tipo de equipo anfitrion a utilizar. Siendo
otras similares respecto a su uso docente en la ensenanza de la principal limitacion practica la cantidad de memoria
redes de computadoras. RAM disponible en el equipo anfitrion.
Nuestra propuesta esta a medio camino entre ambas apro- 2. Soporta la emulacion de multiples interfaces de red
ximaciones, dado que hace uso de una herramienta de virtua- en cada MV, que se pueden interconectar con las de
lizacion convencional, V IRTUAL BOX, y la definicion de los otros huespedes o con el anfitrion, formando redes
escenarios a emplear en las actividades esta solo parcialmente virtualizadas. En concreto, existen cuatro modos basicos:
automatizada. No obstante, la incorporacion de la herramienta NAT: Permite conexiones salientes desde los
DS BOX, descrita en la seccion IV, simplifica enormemente el huespedes a traves del anfitrion empleando traduc-
diseno de los escenarios, as como su difusion y reutilizacion. cion de direcciones (NAT, Network Address Trans-
V IRTUAL BOX es una plataforma de virtualizacion com- lation) gestionada por el motor de V IRTUAL BOX.
pleta para arquitecturas x86 y AMD64, distribuida en su Bridged: Permite el acceso directo del huesped a
version basica bajo licencia GNU General Public License v2 y las redes donde resida el anfitrion, configurando la
disponible para GNU/Linux, MS Windows, Mac OS y Solaris. correspondiente interfaz de red de este equipo en
modo puente.
9 Laboratorios Netkit: http://wiki.netkit.org/index.php/Labs Official Host Only: Ofrece al huesped una interfaz de red
10 LaboratoriosVNX: http://web.dit.upm.es/vnxwiki/index.php/Allexamples desde el que acceder al equipo anfitrion.
11 http://www.marionnet.org/
12 http://www.gns3.com/ 13 Ver https://www.virtualbox.org/wiki/Guest OSes
170
(a) Portada de la seccion Seguridad en redes (b) Enunciado de la actividad Uso de Shorewall: DMZ con doble firewall
Fig. 2. Captura del repositorio de actividades creado, disponible en la direccion http://alqueidon.ei.uvigo.es/repossi/.
Internal Network: Ofrece un mecanismo para que virtuales entre diferentes MVs huesped y permite la
distintas maquinas huesped compartan una red vir- creacion, gestion y comparticion de imagenes diferen-
tualizada comun, aislada del exterior y del propio ciales. De este modo, es posible definir una unica
anfitrion. Cada una de estas redes virtualizadas con- imagen base que sera reutilizada por todas las MVs
forma un dominio de colision, a modo de concentra- que conforman un escenario dado, ahorrando espacio
dor o hub virtual, donde se conectan las diferentes de disco y minimizando los tiempos de descarga de
instancias de los equipos huesped. las imagenes utilizadas. Asimismo, es posible distribuir
imagenes diferenciales que anadan modificaciones sobre
En nuestro caso, salvo en casos concretos, se utilizan ex-
las imagenes base iniciales, permitiendo una actualiza-
clusivamente conexiones Internal Network que permiten
cion sencilla de los huespedes utilizados.
definir redes locales arbitrarias segun las necesidades del
4. Ofrece mecanismos de control de las maquinas virtuales
escenario trabajado en cada actividad concreta.
muy potentes y flexibles, mas alla de su interfaz grafi-
3. Soporta la comparticion de las imagenes de discos
171
ca. En concreto, la herramienta de lnea de comandos 8.04 con software vulnerable y deficiencias de configuracion.
VBoxManage permite configurar la totalidad de los Para cada actividad propuesta se aporta un shell script
parametros relativos a las MVs, as como controlar su de puesta en marcha, tanto para GNU/Linux como para
ejecucion, haciendo posible la definicion y control de MS Windows, encargado de automatizar su puesta en
estas MVs desde shell scripts faciles de distribuir y funcionamiento. Estos scritps hacen uso de las funcionalidades
ampliar. Del mismo modo, V IRTUAL BOX tambien ex- de la herramienta VBoxManage y se encargan de crear
pone todas sus funcionalidades a traves de diversas APIs y definir los parametros de las respectivas MVs huesped,
disponibles para distintos lenguajes de programacion. configurandolas para utilizar replicas diferenciales de
5. Permite, entre otras alternativas, la comunicacion entre la imagen base descrita anteriormente. La otra gran
anfitrion y huespedes mediante el intercambio de Guest responsabilidad de estos scripts es definir las conexiones
Properties. Se trata de pares atributo-valor que son de red de los huespedes en modo Internal Network
establecidos por la maquina anfitrion, bien desde la de modo que se pueda realizar la interconexion entre
herramienta de lnea de comandos VBoxManage o huespedes para conformar las redes virtualizadas empleadas
desde alguna de las APIs ofrecidas por V IRTUAL BOX. en cada ejercicio concreto. Adicionalmente, estos scripts
Los valores vinculados a estosa tributos que pueden tambien pueden configurar los parametros de red propios
ser recuperados desde las MVs huesped que tengan de cada huesped, como direcciones IP, mascaras de red,
instalado el software denominado V IRTUAL BOX Guest rutas, fichero /etc/hosts inicial, etc. Para permitir
Additions, que proporciona una coleccion de drivers esta configuracion automatica de la red en los equipos
nativos, servicios, libreras y ejecutables, entre ellos huesped se hace uso de las Guest Properties ofrecidas
el comando VBoxControl que permite consultar los por V IRTUAL BOX y de un script de arranque especfico
valores de estas Guest Properties. (/etc/init.d/dsBOX_network_autconfigure.pl)
En nuestro caso, este mecanismo se utilizara para in- presente en la imagen base, que cuenta a su vez con una
yectar determinados parametros de configuracion en el instalacion funcional de la version 4.3.x de las Guest Additions
equipo huesped, que permitiran configurar, desde el ex- de V IRTUAL BOX. Este script se ejecuta durante el arranque
terior del mismo, aspectos como las conexiones de red, de las MVs y consulta los valores de las Guest Properties
rutas por defecto, nombres y direcciones de maquinas descritas en la tabla II mediante el comando VBoxControl
conocidas, etc. para, en el caso de que estas estuvieran establecidas, invocar
los correspondientes comandos de configuracion de redes de
II-B. Estructura de los equipos y las redes virtualizadas la maquina huesped.
En lo que respecta al uso que se hace de las tecnologas de
virtualizacion a la hora de plantear un laboratorio personal III. R EPOSITORIO DE ACTIVIDADES
sobre el que realizar las actividades practicas propuestas, el
esquema empleado es una evolucion del descrito por los Para hacer disponible la coleccion de actividades y ejerci-
autores en [6]. Se ha pretendido optimizar el uso de espacio en cios basados en MVs desarrollados a lo largo de estos anos de
disco mediante el empleo de imagenes de disco diferenciales actividad docente se ha publicado un repositorio web donde
creadas a partir de una imagen base comun. Tambien se ha se recogen los enunciados, guas y demas recursos utilizados,
perseguido simplificar el proceso de puesta en marcha de las junto con las imagenes base de las MVs utilizadas y los res-
simulaciones, consiguiendo reducir al mnimo el trabajo del pectivos shell scripts de instalacion y puesta en marcha. Este
alumnado previo a la realizacion de las actividades en s, repositorio esta actualmente publicado en la direccion http:
automatizando tareas como la configuracion de conexiones de //alqueidon.ei.uvigo.es/repossi/ y se estructura
red, direcciones y rutas. en 4 secciones, que se corresponden aproximadamente con la
En nuestra propuesta hemos empleado una unica imagen estructura seguida en las actividades practicas de las asigna-
base de un sistema GNU/Linux que hace uso de la distribucion turas de seguridad en sistemas de informacion impartidas.
Debian 7.0, y que cuenta una serie de herramientas de seguri- Seguridad en redes. Incluye ejemplos de tecnicas y
dad preinstaladas, junto con un conjunto de servidores tpicos herramientas de seguridad en redes, organizados en dos
(gestor de base de datos, servidor HTTP, etc) inicialmente subsecciones:
deshabilitados. Los detalles de dicha imagen base se presentan
Protocolos seguros. Revisando los problemas deri-
en la Fig. 1. Esta imagen es la que se utilizara para lanzar
vados del uso de protocolos no cifrados y presentado
la mayora de los huespedes que formaran parte de las redes
en detalle el funcionamiento interno de protocolos
virtuales a utilizar en las actividades practicas desarrolladas. Se
como TLS/SSL.
consigue de este modo sacar provecho del soporte de imagenes
Proteccion perimetral. Revisando herramientas pa-
diferenciales de V IRTUAL BOX para minimizar el uso de
ra la construccion de cortafuegos y las distintas to-
espacio en disco. Solo en casos puntuales, y para finalidades
pologas disponibles a la hora de hacer uso de zonas
concretas, se hace uso de imagenes disponibles en lnea, como
desmilitarizadas. Se presentan tambien ejemplos de
en la actividad de explotacion de vulnerabilidades donde se
uso de herramientas de deteccion de intrusos, tanto
emplea Metasploitable2 14 , una imagen de un sistema Ubuntu
de red como de host, as como soluciones para la
14 Disponible en http://sourceforge.net/projects/metasploitable/. construccion de redes privadas virtuales.
172
TABLA II
PAR AMETROS C ONFIGURABLES EN LAS MV S MEDIANTE Guest Properties.
CLAVE ATRIBUTO TIPO VALOR DESCRIPCI ON
/DSBOX/num_interfaces num. entero Numero de dispositivos de red conectados a la MV huesped

/DSBOX/{interface}/tipo cadena: dhcp o static Asignacion de direcciones IP del interfaz no {interface}: modo automatico
mediante DHCP o modo manual (configuracion estatica)
/DSBOX/{interface}/address direccion IP Direccion IP a asignar al interfaz no {interface} en el modo estatico
/DSBOX/{interface}/netmask mascara de red (formato Mascara de red del interfaz no {interface} en el modo de configuracion
nnn.nnn.nnn.nnn) estatico
/DSBOX/{interface}/broadcast direccion IP Direccion IP de broadcast del interfaz no {interface} en el modo estatico
/DSBOX/default_gateway dir. IP o nombre completo Direccion IP o nombre de la maquina que hace el papel de puerta de enlace
(ruta por defecto de la MV)
/DSBOX/default_nameserver dirs. IP separadas por , Lista de direcciones IP de los servidores de nombres a utilizar por la MV
/DSBOX/host_name cadena de texto Nombre completo de la maquina virtual en su respectiva red
/DSBOX/etc_hosts_dump pares nombre:direccion se- Lista de pares (nombre maquina, dir. IP) a incluir en el fichero /etc/hosts
parados por , de la maquina virtual (permite que las MVs sean accesibles por nombre sin
necesidad de instalar un servidor DNS propio en la red virtualizada)
Desarrollo seguro. Centrado en la revision de las vulne- GNU/Linux y MS Windows 15

rabilidades tpicas en aplicaciones web. Se hace uso de Pasos a seguir comentados
aplicaciones educativas que cuentan intencionadamente 3. Actividades autonomas
con vulnerabilidades conocidas, como problemas de in- Pruebas/experimentos a realizar
yeccion SQL o Cross Site Scripting (XSS). Cuestionarios
Tambien se presentan alternativas para mitigar estos
4. Descripcion de los entregables requeridos (opcional)
problemas mediante el uso de cortafuegos de nivel de
aplicacion como mod-security. En la Fig. 2 se muestra el enunciado de la actividad Uso de
Administracion de sistemas. Se revisan cuestiones rela- Shorewall: DMZ con doble firewall que sigue este esquema.
tivas a la administracion segura de sistemas, fundamen- Se trata de una actividad que emplea una de las topologas de
talmente cuestiones relacionadas con la autenticacion en red mas complejas presentes en el repositorio.
entornos centralizados. Como hemos senalado, por razones de comodidad y efi-
Se incluyen tambien ejercicios complementarios rela- ciencia, todas las actividades del repositorio hacen uso de una
cionados con balanceo de carga de aplicaciones y con imagen base comun. De este modo, una vez descargada esta
soluciones de alta disponibilidad, que si bien van mas alla imagen durante el primer uso de una actividad del repositorio,
de lo que abarca tpicamente un curso sobre seguridad, la puesta en marcha de las sucesivas actividades se simplifica.
sirven para mostrar la versatilidad de nuestra propuesta El script de puesta en marcha que acompana a cada actividad
al aplicarla en otros campos relacionados. se encarga de la descarga de la imagen base (si esta no existe),
Tests de intrusion. Se presentan ejemplos de uso de para, una vez esta este disponible, proceder a la creacion de
herramientas empleadas tpicamente para dar soporte a las imagenes incrementales usadas por cada MV concreta y
tareas habituales en los tests de intrusion, como detec- a la configuracion de sus parametros. En caso de que todas
tores/analizadores de vulnerabilidades o frameworks de estas tareas ya hubieran sido realizadas, el script simplemente
explotacion de vulnerabilidades como Metasploit. arrancara las maquinas que correspondan al ejercicio.
En la Tabla I se detallan las actividades actualmente dispo- IV. H ERRAMIENTA DE D ISE NO DE S IMULACIONES :
nibles dentro de cada una de estas secciones, junto con una DS BOX
indicacion de las herramientas concretas trabajadas en cada
Con el fin de simplificar al maximo la creacion de escenarios
actividad. En la Fig. 2 se muestra una captura de la seccion
por parte de los usuarios finales se ha desarrollado una
Seguridad en red del repositorio de actividades, con una
herramienta grafica multiplataforma denominada DS BOX, que
descripcion de parte de las actividades incluidas en la misma.
busca aprovechar las caractersticas mas utiles del entorno
De un modo general se ha intentado seguir un esquema docente basado en tecnicas de virtualizacion descrito en las
uniforme a la hora de describir cada actividad. As, la docu- secciones anteriores. Esta herramienta permite disenar las
mentacion de las actividades que actualmente forman parte del pequenas redes de equipos virtualizados que conforman los
repositorio sigue el siguiente esquema: escenarios utilizados en las actividades descritas en la seccion
1. Descripcion general de la actividad anterior u otros escenarios similares que precise crear un de-
terminado usuario. Tambien permite configurar los parametros
Objetivos (y vinculacion con contenidos teoricos) de red de cada una de las conexiones presentes en los equipos
Escenario: redes, maquinas, herramientas a emplear de la red, junto con caractersticas relativas al modo en que
Recursos: informacion de las herramientas, manua- V IRTUAL BOX asignara recursos a las MVs huesped, como
les, tutoriales externos, etc puede ser la cantidad de memoria RAM o el porcentaje de
2. Desarrollo guiado 15 Se pretende incluir tambien el fichero XML con la especificacion de la
Scripts de puesta en marcha para entornos red para DS BOX (ver seccion IV).
173
Fig. 3. Vision general de DS BOX: escenario Uso de Shorewall: DMZ con doble firewall y configuracion de conexiones en cortafuegos contencion.
tiempo de CPU dedicado a cada maquina. Por ultimo, desde invocaciones SOAP (Simple Object Access Protocol) a los
la propia interfaz de DS BOX se puede lanzar y controlar la metodos publicados mediante esta API es posible crear y
ejecucion de las MVs que constituyen el escenario simulado. configurar las MVs utilizadas y controlar su ejecucion.
En la Fig. 3 se muestra un ejemplo del tipo de escenarios Por defecto, el tipo de equipos soportados por la version
que es posible disenar con DS BOX, en este caso se correspon- actual de DS BOX emplea la misma imagen base descrita
de con la red utilizada en la actividad Uso de Shorewall: DMZ en secciones precedentes. No obstante, es posible utilizar
con doble firewall de nuestro repositorio. Se muestra tambien cualquier tipo de imagen soportada por V IRTUAL BOX. En
uno de los dialogos de configuracion de las conexiones de red estos casos no es posible la configuracion automatica de las
del cortafuegos contencion. conexiones de red, salvo que en dicha imagen se cuente
Esencialmente se trata de un editor grafico de redes donde con scripts especficos que procesen adecuadamente las Guest
se pueden vincular equipos, seleccionados a partir de una Properties descritas en la tabla II. En lo que respecta al tipo de
paleta con los tipos de equipo disponibles, con dispositivos de dispositivos de red soportados, se corresponden con switches
red, seleccionados de entre la paleta de tipos de dispositivos o hubs Ethernet simulados configurando convenientemente los
soportados. En tiempo de simulacion, a cada uno de los equipos huesped para que empleen conexiones de tipo Internal
equipos le correspondera una MV y los distintos dispositivos Network. Tambien se soporta la simulaciones de dos tipos de
de red seran simulados configurando, de forma apropiada, conexiones con el exterior, utilizando los modos de conexion
las conexiones de red de estas maquinas, de acuerdo a las bridged y NAT ofrecidos por V IRTUAL BOX.
funcionalidades que ofrezca la plataforma de virtualizacion Por ultimo, toda la informacion relativa a las redes disenadas
externa empleada. y los datos necesarios para configurar y poner en marcha las
En cuanto a la arquitectura de esta herramienta, se trata MVs que posteriormente las simularan se almacena en docu-
de una aplicacion de escritorio Java, desarrollada sobre el mentos XML (eXtensible Markup Language). Esta funciona-
toolkit grafico JavaFX 8. Se ha disenado buscando la maxima lidad hace posible la distribucion, intercambio y modificacion
modularidad, de modo que la interfaz grafica para el diseno de de los entornos de red disenados y evita utilizar el tipo de shell
redes es independiente de los componentes encargados de in- scripts descritos en la seccion previa, construidos ad hoc para
teractuar con la plataforma de virtualizacion empleada para la automatizar la puesta en marcha de los entornos simulados.
creacion, configuracion y control de las MVs que implementan
la simulacion. En la version actual se emplea V IRTUAL BOX
V. E VALUACI ON Y C ONCLUSIONES
como plataforma de virtualizacion externa, aplicando todas las
optimizaciones descritas en las secciones precedentes: com- En la Fig. 4 se presentan los resultados de las encuestas
particion de imagenes base mediante imagenes diferenciales, realizadas a los alumnos que durante los cursos 2013/14 y
uso de Guest Properties para la configuracion interna de los 2014/15 han utilizado la aproximacion basada en maquinas
huespedes, etc. La interaccion con V IRTUAL BOX se lleva a virtuales descrita en la seccion II para llevar a cabo parte de
cabo empleando la API de servicios web disponible para esta las actividades practicas de la materia obligatoria de 6 creditos
herramienta, en concreto la version Java basada en JAX-WS ECTS Seguridad en Sistemas Informaticos. Esta materia se
(Java API for XML Web Services). De este modo, realizando ubica en el ultimo curso del Grado en Ingeniera Informatica
174
Fig. 4. Evaluacion global por parte del alumnado y principales problemas o dificultades.
impartido en la Escuela Superior de Ingeniera Informatica practica de nuestra materia y explorar mejores formas de usar
del Campus de Ourense de la Universidad de Vigo. En ambas este tipo de actividades guiadas para fomentar el interes de los
ediciones del curso solo fueron utilizadas parte de las acti- alumnos, proponiendo tareas mas autonomas que les permitan
vidades incluidas en el repositorio descrito en la seccion III, profundizar en el aprendizaje y asimilacion de los conceptos
sin llegar a emplearse la herramienta grafica DS BOX, que no y herramientas estudiados en las actividades realizadas. En
estaba disponible. cuanto al desarrollo futuro de DS BOX, la lnea a seguir se
Los resultados en cuanto a la valoracion global del uso de orienta a mejorar las funcionalidades relativas al control de la
entornos virtualizados son positivos, as como la percepcion ejecucion de las simulaciones, la inclusion de asistentes que
de los alumnos respeto a su facilidad de uso, a la adecuacion simplifiquen incorporacion de nuevas imagenes base y nuevos
de las actividades propuestas con respecto a los contenidos tipos de equipos a la paleta de componentes del editor de
de la materia y al nivel de dificultad en el desarrollo de los redes o incorporar el uso de otros motores de virtualizacion,
ejercicios concretos que les fueron asignados. bien de forma nativa o mediante APIs independientes como
Un aspecto clave en una aproximacion tan guiada como la libvirt.
que presentamos en este trabajo esta en relacion con la capaci-
dad real de este metodo de conseguir un aprendizaje realmente R EFERENCIAS
significativo. Buena parte de los ejercicios propuestos pueden [1] H. Bulbrook, Using virtual machines to privide a secure teaching lab
completarse simplemente siguiendo los pasos detallados que environment, whitepaper, Durham Technical Community College.
[2] J.A. Gil, F.J. Mora, F. Macia, A. Albadalejo, S. Ferrairo, Entorno de
se ofrecen sin que el alumno llegue realmente a entender red virtual para la realizacion de practicas realistas de administracion
totalmente que hace y por que lo hace. En nuestra encuesta de sistemas operativos y redes de computadores, XI Jornadas de la
final se pregunta explcitamente por ese punto en el apartado Ensenanza Universitaria de la Informatica, JENUI2005, 2005.
[3] P. Gomez, Maquinas virtuales en las clases de informatica, XII Jornadas
de problemas y dificultades, cuyos resultados tambien se de la Ensenanza Universitaria de la Informatica, JENUI2006, 2006.
muestran en la Fig. 4. S hemos constatado un numero [4] J. Hu, D. Cordel, C. Meinel, A virtual laboratory form IT security
relativamente alto de alumnos que declaran encontrar los education, Proc. EMISA 2004,pp.60-71, Luxemburgo, 2004.
[5] P.Y. Logan, Crafting an undergraduate information security emphasis
ejercicios propuestos como demasiado guiados o senalan que within information technology, Journal of Information System Education,
no llegaron a poder interpretar completamente los resultados Vol. 13(3), pp. 227-247, 2002
obtenidos. Si bien para algunas de las actividades propuestas, [6] F.J. Ribadas-Pena, F.M Barcala-Rodrguez, V.M Darriba-Bilbao, J.Otero-
Pombo, Diseno de un entorno virtualizado para la docencia practica de
que simplemente pretenden presentar el uso de determinadas Seguridad en Sistemas de Informacion, XIV Jornadas de la Ensenanza
herramientas de seguridad, ese es el comportamiento previsto, Universitaria de la Informatica, JENUI2008, 2008
s somos conscientes de que se debe realizar mas trabajo en la [7] Netkit, The poor mans system to experiment computer networking,
recurso en lnea http://wiki.netkit.org/ (ultimo acceso 9/8/2015)
propuesta de experimentos o comprobaciones adicionales que [8] A. Ruiz-Martnez, F. Perenguez-Garca, R. Marn-Lopez,P.M. Ruiz-
reten a los alumnos a profundizar en los conceptos tratados Martnez, A.F. Skarmeta-Gomez, Teaching Advanced Concepts in Com-
en las actividades realizadas. puter Networks: VNUML-UM Virtualization Tool, IEEE Transactions on
Learning Technologies, Vol. 6(1), pp. 85-96, 2013
En lo que respecta a las contribuciones de este trabajo [9] J. Son, C. Irrechukwu, P. Fitzgibbons, A Comparison of Virtual Lab
mas alla de su vertiente docente, hemos de senalar que se Solutions for Online Cyber Security Education, Communications of the
ha puesto a disposicion de la comunidad una coleccion de IIMA: Vol. 12(4), 2012
[10] R. Tikekar, Thomas Bacon, The challenges of designing lab exercises
ejemplos de uso de un conjunto relativamente representativo for a curriculum in computer security, Journal of Computing on Small
de herramientas de seguridad que sirven como punto de Colleges (JCSC), Vol. 18(5), pp. 175-183, 2003.
partida para el autoaprendizaje y la experimentacion. Tambien [11] Adan Vollrath, Steven Jenkins, Using virtual machines for teaching
system administration, Journal of Computing on Small Colleges (JCSC),
se ha desarrollado una herramienta grafica, DS BOX, que Vol. 20(2), pp. 287-292, 2004.
permite disenar de forma sencilla entornos virtualizados como [12] Virtual Networks over linuX (VNX), recurso en lnea http://web.dit.upm.
los empleados en nuestro repositorio, cuya utilidad puede ir es/vnxwiki/ (ultimo acceso 9/8/2015).
[13] C. Willems, C. Meinel, Practical Network Security Teaching in an
claramente mas alla de su uso en una materia de seguridad. Online Virtual Laboratory, Proc. 2011 Intl. Conference on Security &
Por ultimo, en cuanto a las futuras lneas de trabajo, el Management (SAM 2011), pp. 65-71, 2011.
paso inmediato es integrar el uso de DS BOX en la docencia
175
1
Experiencias actualizando la asignatura de

Seguridad Informatica para los grados de
Ingeniera Informatica
Marta Beltran e Isaac Martn de Diego
Universidad Rey Juan Carlos, Madrid (Espana)
marta.beltran@urjc.es e isaac.martin@urjc.es
Resumen En el curso 2014/2015 las asignaturas de de Seguridad Informatica de las titulaciones de grado
Seguridad Informatica de los grados de Informatica de que se imparten en esta universidad y en las que se
la Universidad Rey Juan Carlos se han replanteado,
respetando los planes de estudios originales pero innovando imparte esta asignatura (Grado en Ingeniera Informatica,
con un enfoque mucho mas practico y que atienda a las Grado en Ingeniera del Software y Grado en Ingeniera
recomendaciones internacionales que se han realizado en el de Computadores). Con este enfoque se persigue un
area en los ultimos dos o tres anos. Este articulo recoge
el contexto en el que se ha trabajado para realizar este
equilibrio entre la teora y la practica, y tambien entre
cambio, las experiencias y resultados obtenidos y algunas los contenidos basicos que se deben cubrir con este tipo de
ideas para trabajar en el futuro. asignaturas introductorias y los contenidos mas avanzados
y relativos a las nuevas tendencias en TIC que permitan
motivar a los alumnos con la asignatura.
I. Introduccion
El resto del artculo se estructura de la siguiente
Distintos organismos e instituciones como NERC, manera. En la seccion II se presenta el contexto en el
NIST, ISACA, ENISA o el DHS han propuesto en que se ha desarrollado la experiencia. En la seccion III
los ultimos anos mejores practicas para la formacion y se resumen los aspectos mas importantes de la Gua de
concienciacion en Seguridad Informatica. Si se analiza Asignatura que se han implantado en el curso 2014/2015
toda esta documentacion, se suelen proponer niveles de para la asignatura Seguridad Informatica (obligatoria, 6
profundizacion, contenidos asociados a cada uno de ellos creditos y en el tercer curso de todos los grados. En
y roles que deberan formarse y/o concienciarse a un la seccion IV se detallan todas las actividades practicas
nivel o a otro. Desafortunadamente, si se asocia la realizadas con los alumnos y en la seccion V se comentan
concienciacion con la comprension del Que (informacion, detalles acerca de la implantacion de la nueva gua y de los
sensibilizacion) y la formacion con la comprension del resultados obtenidos en este primer curso. Finalmente la
Como (conocimiento), todas estas propuestas dejan sin seccion VI resume las conclusiones obtenidas y las lneas
tratar la Educacion, que se asociara con el Por que. Y mas interesantes de trabajo futuro.
este es justo el nivel en el que deberan encontrarse las
asignaturas de Seguridad Informatica en las titulaciones II. Contexto
universitarias. Segun los acuerdos de la Conferencia de Decanos y
Sin este tipo de recomendaciones y guas, ni Directores de Informatica (CODDI) sobre titulaciones
nacionales ni internacionales, la mayor parte de las en el EEES (del ano 2004 y del ano 2007, [6]) el
nuevas titulaciones en el Espacio Europeo de Educacion ttulo de Grado de Ingeniera Informatica dentro de
Superior (EEES), es decir, los nuevos grados, han sus Contenidos Formativos Comunes, debe incluir una
planteado casi siempre modulos curriculares o asignaturas categora de Contenidos Especficos de la Ingeniera
completas de Seguridad Informatica con planteamientos en Informatica. Dentro de esta categora se incluye
mayoritariamente teoricos y centrados en la criptografa. a su vez una subcategora de Sistemas Operativos,
Sin embargo cada vez esta mas claro que este enfoque se Sistemas Distribuidos y Redes en la que se menciona
aleja del tipo de educacion que se debera estar dando en explcitamente la Seguridad. Ademas en estos
la universidad para este area de la informatica ([1]). Las acuerdos se establece una competencia para la titulacion
necesidades de los nuevos profesionales en una sociedad que implica que los alumnos aprendan a Disenar,
tecnologica y en red como la actual, en la que la Seguridad desarrollar, evaluar y asegurar la accesibilidad, ergonoma,
Informatica afecta practicamente a todas las facetas de la usabilidad y seguridad de los sistemas, aplicaciones y
vida cotidiana de personas y organizaciones, nos obligan a servicios informaticos, as como de la informacion que
realizar un esfuerzo desde las universidades para adaptar proporcionan, conforme a la legislacion y normativa
nuestros contenidos y enfoques pedagogicos ([2], [3], [4], vigentes.
[5]). Atendiendo a estos acuerdos, la Universidad Rey Juan
Este esfuerzo ha comenzado a realizarse en la Carlos incluyo en el diseno de los tres grados impartidos
Universidad Rey Juan Carlos (Madrid) en el curso por la ETSII (Escuela Tecnica Superior de Ingeniera
2014/2015, probando un nuevo enfoque para ocho grupos Informatica), es decir, en los grados de Ingeniera
176
2
Informatica, Ingeniera del Software e Ingeniera de con lo siguiente objetivos:

Computadores, una asignatura de 6 creditos en el 1. Actualizar los contenidos de la asignatura para que se
tercer curso denominada Seguridad Informatica. Los ajusten a las ultimas recomendaciones internacionales y a
descriptores de esta asignatura que aparecen en BOE (con las necesidades del mercado laboral.
ciertos matices para cada una de las titulaciones, pero 2. Realizar esta actualizacion de manera que se puedan
esencialmente, estos) son Introduccion a la seguridad re-aprovechar los esfuerzos lo mas posible, es decir,
en sistemas informaticos. Polticas de seguridad. aprovechando el nuevo planteamiento en los tres grados
Criptografa. Protocolos. Infraestructura de clave en los que se imparte la asignatura.
publica. Firma y certificados digitales. Seguridad en 3. Incrementar significativamente el numero de horas que
Bases de Datos. Seguridad en Redes. Seguridad en en la asignatura se dedican a actividades practicas.
Sistemas Operativos. Tecnicas de hacking. Seguridad en 4. Mejorar la percepcion que los alumnos tienen de
instalaciones publicas y privadas. Proteccion de datos. la asignatura, consiguiendo as incrementar la tasa de
Normativas y legislacion en seguridad. presentados a la primera convocatoria y aumentar el
Estas asignaturas de Seguridad Informatica se numero de trabajos fin de grado defendidos en la escuela
impartieron por primera vez en el curso 2011/2012, y relativos a Seguridad Informatica.
siguiendo la tradicion de las antiguas asignaturas de 5. Permitir a los alumnos adquirir competencias que les
las titulaciones de Informatica en extincion, el enfoque ayuden a auto-formarse en el futuro, ya que en un area
que se siguio fue esencialmente teorico y centrado en la tan dinamica y con una evolucion tan rapida como es
criptografa. la Seguridad Informatica, esto es imprescindible para su
Sin embargo ha sido justo en estos anos cuando ha futura vida profesional. Es importante que adquieran
comenzado a surgir una preocupacion importante por unas competencias basicas en la materia pero tambien que
la falta de profesionales con competencias adecuadas aprendan a aprender para el futuro.
para trabajar en ciberseguridad y diferentes organismos, En este proceso, se han tenido que considerar ciertas
instituciones y centros educativos han comenzado a barreras o restricciones, que esencialmente se pueden
realizar analisis y recomendaciones especficas para guiar a resumir en:
los profesores de las asignaturas de Seguridad Informatica, Barreras de organizacion academica, ya que no se
tanto de grado como de post-grado, en el planteamiento planteaba una modificacion de los planes de estudio. Esto
de sus contenidos teoricos y practicos. supone, por ejemplo, que se debe respetar su grado de
Si observamos recomendaciones academicas en experimentalidad, de manera que los alumnos pasen 40
contextos internacionales, el Computing Curricula horas en el aula de teora y 20 horas en los laboratorios.
de IEEE y ACM en el 2013 ([7]) ha incluido dentro Barreras de organizacion de laboratorios, ya que no es
del Body of Knowledge de Computer Science un area posible realizar ciertas practicas dentro de la red de la
especifica denominada Information Assurance and universidad ni contar con mas de un cierto numero de
Security (IAS). Dentro de este area se deben incluir los horas en laboratorios para la asignatura (como ya se ha
siguientes aspectos de manera obligatoria Foundational avanzado, se dispone de 20 horas en total a lo largo del
Concepts in Security. Principles of Secure Design. cuatrimestre para cada uno de los grupos de la asignatura,
Defensive Programming. Threats and Attacks. Network y en la mayor parte de ellos, no se dispone de puestos
Security. Cryptography y los siguientes de manera suficientes para que todos los alumnos trabajen, por lo
optativa Web Security. Platform Security. Security que es necesario hacer desdobles).
Policy and Governance. Digital Forensics. Secure Barreras presupuestarias, ya que no se cuenta con
Software Engineering. presupuesto para la actualizacion de los laboratorios
Ademas, IBM, dentro del IBM Cybersecurity dedicados a la asignatura.
Innovation Program ([8]) ha propuesto tambien unas Barreras de personal, ya que no se cuenta en la
mejores practicas para la educacion universitaria en actualidad con un numero suficiente de profesores en la
ciberseguridad, identificando en este caso cinco areas escuela expertos en la materia.
fundamentales: Security and information assurance En las siguiente secciones se detalla como se intentaron
overview, Data protection and access management, superar todas estas barreras para conseguir los objetivos
Infrastructure security, Intelligence, analytics, and propuestos.
compliance and Secure software engineering.
A estos dos ejemplos hay que sumarles iniciativas III. Gua de la asignatura
como National Iniciative for Cybersecurity Education En esta seccion vamos a resumir los aspectos mas
(NICE) del NIST ([9]), las del gobierno de Reino importantes de la gua de la asignatura Seguridad
Unido ([10]), el proyecto europeo ENGENSEC ([11]), Informatica en el curso 2014/2015 para el Grado de
el Georgia Tech Information Security Center ([12]) o el Ingeniera Informatica ([14]). Como ya se ha comentado,
Purdue University Center for Education and Research in se trata de una asignatura obligatoria de 6 creditos (cuatro
Information Assurance and Safety ([13]). horas de clase a la semana durante 16 semanas) en el
Teniendo todo esto en cuenta, en el curso 2014/2015 tercer curso. Las guas para las otras dos titulaciones
hemos re-planteado la asignatura de Seguridad (en los grados de Software y Computadores) han sido
Informatica de las titulaciones de grado de la ETSII muy similares pero se han modificado ciertos matices para
177
3
que se adapten mejor al plan de estudios y al perfil de realizadas por los alumnos, siempre trabajando por
alumnado en cada caso. parejas.
Para las practicas de ataques se han utilizado
A. Pre-requisitos herramientas tpicas como Maltego, Ettercap, Wireshark,
Se recomienda haber cursado previamente (aunque no Nmap o Nessus, ademas de scripts de los propios
se exige) las asignaturas Introduccion a la Programacion, alumnos y aplicaciones vulnerables proporcionadas por
Estructuras de datos, Programacion Orientada a Objetos, los profesores de la asignatura. Para las practicas de
Bases de Datos y Redes de Computadores. contramedidas se han trabajado con codigos desarrollados
por los propios alumnos y por los profesores, tanto en C
B. Contenidos como en Java.
La tabla I resume los contenidos planteados en la gua C. Otras actividades practicas
de la asignatura, como se pueden observar, divididos en
tres grandes bloques. Este curso academico se han propuesto a los alumnos
tres actividades optativas para complementar, fuera del
C. Actividades horario de la asignatura, los contenidos estudiados.
La asignatura se ha dividido por semanas, de manera La primera fue la asistencia al Ciclo de Seminarios sobre
que cada semana se trabaja con una gua de estudio Ciberseguridad de ISACA con la Universidad Rey Juan
y, aproximadamente, con una de las unidades reflejadas Carlos. El programa de seminarios que se organizo en este
en la tabla I. En esta gua se especifican todas las curso, todos ellos impartidos por miembros de ISACA, fue:
Lunes 9 de marzo de 2015: La importancia de la
actividades que el alumno debe realizar de manera
obligatoria durante la semana y tambien se plantean auditora tecnologica en la empresa actual.
Jueves 12 de marzo de 2015: Ciberseguridad en
actividades optativas para aquellos alumnos que quieran
profundizar mas en alguna materia de su interes. En esta entornos industriales.
Lunes 16 de marzo de 2015: Como se protegera
guas se proporcionan todos los enlaces a la documentacion
necesaria as como unas cuestiones de auto-evaluacion Espana ante una cibercrisis?.
Lunes 23 de marzo de 2015: Self Defending Mobile
que permiten a los alumnos valorar si han cumplido
suficientemente los objetivos de la semana. Apps.
Jueves 26 de marzo de 2015: Seguridad de la
Segun la semana las actividades asociadas a la
asignatura han sido: informacion y auditora en entornos Cloud Computing.
Clases magistrales.
La segunda fue la asistencia al URJC Techfest 4, que
Presentaciones de alumnos.
en el ano 2015 se organizo en forma de Jornadas de
Seminarios.
Ciberseguridad durante 3 das. Durante estos tres das se
Lecturas.
suspendieron las clases para facilitar la asistencia de los
Practicas en el aula (casos y talleres).
alumnos a todas las actividades programadas y ademas
Practicas en laboratorio.
se ayudo a las asociaciones de alumnos organizadoras a
Otras actividades (ciclos de conferencias, eventos fuera
contactar con profesionales del sector que se involucraran
del campus, etc.). en charlas, seminarios y talleres. Nosotros mismo
impartimos una conferencia el segundo da de las jornadas.
IV. Enfoque practico o hands-on Y la tercera fue una quedada con los profesores de
la asignatura en el CyberCamp2014, aprovechando que
A. Practicas en el aula somos una universidad madrilena y que este evento se
Como se ha comentado con anterioridad, uno de los celebro relativamente cerca de nuestro campus.
objetivos de la asignatura consista en conseguir un
equilibrio entre la teora y la practica. Para ello, en las V. Implantacion y resultados
semanas de trabajo en el aula, se ha intentado siempre En el curso 2014/2015 se ha impartido la asignatura
que una de las clases de dos horas fueran de formato clase de Seguridad Informatica con este nuevo enfoque en
magistral, presentaciones o seminarios, mientras que la ocho grupos diferentes de las titulaciones de informatica,
otra clase de dos horas se dedicara a trabajo practico con un total de 160 alumnos. Dos profesores se han
de los alumnos en el aula. En la tabla II se muestra la involucrado en el proyecto (los autores de este artculo),
planificacion de este tipo de actividades. ambos pertenecientes al Departamento de Ciencias
de la Computacion, Arquitectura de la Computacion,
B. Practicas en el laboratorio Lenguajes y Sistemas Informaticos y Estadstica e
Estas practicas se han realizado en las 20 horas de Investigacion Operativa.
laboratorio (las que en el plan de estudios se consideran La tabla IV muestra el sistema de evaluacion empleado
horas de practicas) y se han dividido en dos grandes y las calificaciones medidas obtenidas por los alumnos
bloques, un primer bloque de practicas asociadas a presentados de los ocho grupos. La teora de la asignatura
Ataques (tres semanas de laboratorio) y un segundo se ha evaluado con distintas pruebas escritas (examen final
bloque de practicas asociadas a Contramedidas (dos tradicional, tests) mientras que las actividades practicas
semanas de laboratorio). La tabla III resume las practicas en el aula y en el laboratorio se han evaluado con informes,
178
4
TABLA I
Nuevos contenidos de la asignatura de Seguridad Informatica
Bloque I Introduccion a la Seguridad Semanas 1 y 2 del semestre

Informatica
Unidad 1 Introduccion Introduccion a la SI. Los tres pilares de la seguridad.
Polticas y procedimientos. El factor humano. Normativas
y legislacion.
Unidad 2 Conceptos basicos y definiciones Riesgo, amenaza y vulnerabilidad. Incidentes, ataques y
eventos. Auditoras y analisis forense.
Bloque II Ataques y contramedidas Semanas 3 a la 14
Unidad 3 Anatoma de un ataque hacker Tipos de atacantes y de ataques. Fases para construir un
ataque. Recogida de informacion. Anonimato
Unidad 4 Ataques a nivel de red y sistema Envenenamientos, suplantacion y MitM. Secuestros de
sesion. Denegaciones de servicio con ataques a protocolos
de red.
Unidad 5 Ataques a nivel de aplicacion y Desbordamientos. Inyecciones de comandos y de codigo.
servicio Forgeries.
Unidad 6 Malware Tipos de malware. Vectores de infeccion. Mecanismos
de propagacion, replica y auto-proteccion del malware.
Malware especifico. APTs.
Unidad 7 Mecanismos criptograficos Sistemas de cifrado de clave publica y de clave privada.
DES, AES y RSA. Firma digital y funciones hash.
Mecanismos de autenticacion. Kerberos. Sistemas de
certificados.
Unidad 8 Contramedidas en redes y Mecanismos para la proteccion del permetro y nuevos
protocolos modelos. Firewalls y DMZs. IDS, IPS y NAC. Soluciones
anti-malware. Protocolos de comunicaciones seguros (IPSec
y TLS).
Unidad 9 Defensas a nivel de software Sistemas operativos de confianza. Mejores practicas para
la codificacion segura. Metodologas de desarrollo seguro.
Bloque III Nuevas tendencias en Seguridad Semanas 15 y 16
Informatica
Unidad 10 Seguridad en entornos moviles Seguridad en sistemas operativos moviles. Proteccion de
dispositivos. Proteccion de aplicaciones. BYOD.
Unidad 11 Seguridad en entornos cloud Riesgos y amenazas especficos. Contramedidas para
entornos cloud. Esquemas IAAA.
Unidad 12 Ciberseguridad industrial y Riesgos y amenazas especificos. Contramedidas para
proteccion de infraestructuras entornos industriales. Seguridad en Internet of Things y
crticas Smart Cities.
memorias, tests y defensas orales/presentaciones. En el de los resultados obtenidos, el equipo docente de la

caso de la evaluacion de estas actividades practicas se asignatura es optimista. Las valoraciones docentes de
ha tenido muy en cuenta el grado de auto-formacion la asignatura tambien han sido muy positivas, as como
de los alumnos en la materia, haciendo hincapie en la los comentarios y opiniones vertidos por los alumnos a
importancia de que aprendan a aprender. Aunque se lo largo del curso. Y por ultimo cabe destacar que mas
ha mantenido el examen final tradicional en el periodo de 50 alumnos han solicitado tema de Trabajo Fin de
de examenes de la escuela, el resto de las pruebas Grado o Practicas en Empresa relacionado con materias
y evaluaciones se han ido realizando a lo largo del de Seguridad Informatica para el curso 2015/2016, lo que
cuatrimestre. tambien es un indicador muy importante.
Ademas de esta informacion tambien hay que Como posibles aspectos de mejora para el curso proximo
destacar un 88% de alumnos presentados en la se plantean: la mejora de los materiales teoricos y
primera convocatoria. Esta tasa de presentados y las practicos asociados a la asignatura y de las guas de
calificaciones medias mejoran sustancialmente lo que se estudio, la mejora de las practicas en el laboratorio para
vena consiguiendo en los cursos anteriores (entre un solventar todos las limitaciones y problemas detectados
54% y un 78% en los tres cursos anteriores dependiendo este primer curso, la involucracion de mas profesores en
del grupo). Aunque con un unico curso academico la constante actualizacion de la asignatura, y una posible
como muestra es pronto para sacar conclusiones acerca modificacion del sistema de evaluacion para premiar de
179
5
TABLA II
Programacion de actividades practicas en el aula
Semana 1 Polticas y procedimientos Caso practico de definicion de polticas.

Semana 2 Incidentes, ataques y eventos Analisis de los incidentes mas graves en el ano 2013 y caso
practico de definicion de plan de respuesta ante incidentes.
Semana 3 Recogida de informacion Taller de herramientas para footprinting.
Semana 4 Denegaciones de servicio con Taller de DDoS.
ataques a protocolos de red
Semana 5 Forgeries Taller de XSS.
Semana 6 Malware Taller de analisis de malware.
Semana 10 DES, AES y RSA Caso practico para evaluar la fortaleza de distintos
criptosistemas.
Semana 11 Mecanismos para la proteccion Taller de TLS.
del permetro y nuevos modelos
Semana 12 Metodologas de desarrollo Caso practico de SAMM de OWASP.
seguro
Semana 15 BYOD Lectura acerca de mejores practicas en BYOD.
Semana 16 Contramedidas para entornos Lectura acerca de mejores practicas en entornos cloud y
cloud taller de SAML.
TABLA III
Programacion de actividades practicas en el laboratorio
Semanas 7 a 9 Ataques Hacking con buscadores (Google y Shodan).

Metadatos. Sniers. Scanners de red y de
vulnerabilidades. Ataques de envenenamiento,
suplantacion y MitM. Desbordamientos. Inyecciones
de comandos y de codigo.
Semanas 13 y 14 Contramedidas Desarrollo de criptosistemas: cifrado por sustitucion
monoalfabetico (algoritmo tipo Cesar), cifrado por
sustitucion polialfabetico (metodo de Vigenere) y
cifrado por transposicion. Criptoanalisis. Firma
digital. Certificados X.509.
TABLA IV
Sistema de evaluacion y calificaciones
Actividad Peso en la nota Calificacion media

Teora (clases, presentaciones, seminarios) 40% 7.2
Practicas en el aula 40% 8.1
Practicas en el laboratorio 20% 8.3
alguna manera a los alumnos que se han involucrado en las las instituciones de educacion superior. La ensenanza
actividades optativas (las denominadas otras actividades de esta materia no debe limitarse a la criptografa
practicas) dentro del marco regulatorio de la universidad sino basarse en una vision integral, multi-disciplinar
respecto a sistemas de evaluacion. y holstica, debe proporcionar a los estudiantes las
herramientas para aprender por su cuenta en el futuro,
VI. Conclusiones y trabajo futuro debe equilibrar la teora con la practica y contar en todo
Segun los ultimos estudios, mas de la mitad de las lo posible con los futuros empleadores de los egresados.
empresas reconocen que les cuesta encontrar personal En la Universidad Rey Juan Carlos se ha comenzado
convenientemente formado en Seguridad Informatica. a afrontar estos retos en el curso 2014/2015, recogiendo
Esta limitacion esta siendo en muchos casos una de las la experiencia de los cursos anteriores, las sugerencias
causas por las que se ralentiza la adopcion de nuevos de muchos profesores y alumnos, y las recomendaciones
paradigmas como Mobile, Cloud o IoT. Gobiernos y de distintos organismos e instituciones nacionales e
corporaciones comienzan a presionar para reducir el skill internacionales. Las experiencias vividas y los resultados
gap detectado y las universidades deben asumir su parte obtenidos este primer curso academico en ocho grupos
de responsabilidad, actualizando los programas y los de alumnos diferentes nos permite ser optimistas y seguir
enfoques de las asignaturas de Seguridad Informatica en trabajando en esta direccion con mas fuerza si cabe.
180
6
En la actualidad se esta trabajando en diferentes [10] National Audit Oce. The UK cyber
lneas. La primera, mejorar las practicas en el aula y security strategy: Landscape review.
http://www.nao.org.uk/wp-content/uploads/2013/03/
en el laboratorio para el proximo curso. En el caso Cyber-security-Full-report.pdf.
de estas ultimas se esta trabajando para realizar varias [11] Educating the next generation experts in cyber security.
con las herramientas mas importantes que incorpora la http://engensec.eu/.
[12] Georgia tech information security center.
distribucion Kali Linux y explotando las vulnerabilidades https://www.gtisc.gatech.edu/.
de sistemas y aplicaciones que ponen a disposicion de [13] Center for education and research in information assurance and
security (CERIAS). https://www.cerias.purdue.edu/.
todos los estudiantes y profesionales proyectos como los [14] Marta Beltran and Isaac Martn de Diego. Gua de asignatura:
de OWASP, Google o Metasploit. Seguridad informatica, grado en ingeniera informatica URJC
La segunda, lanzar en Enero de 2016 un MOOC (2014/2015). http://miportal.urjc.es/guiasdocentes/.
(Massive Online Open Course) en la nueva plataforma
URJCx que desarrolle contenidos similares a los de la
asignatura, pero mucho mas acotados, ya que el curso
durara seis semanas. Se pretende que el enfoque sea
tambien similar, por lo que se esta trabajando en adaptar
las actividades para poder realizarlas en formato online.
Este MOOC puede ser de gran utilidad, entre otros
colectivos, para los profesores que necesiten formarse en la
materia, ya que hemos detectado que la falta de formacion
entre el profesorado es en la actualidad una importante
barrera para una adecuada ensenanza de la Seguridad
Informatica en la universidad.
Y la tercera, acreditar nuevos planes de estudio de grado
y post-grado especficos del area de la ciberseguridad en
la Universidad Rey Juan Carlos.
Agradecimientos
Nuestro agradecimiento a los profesores que impartieron
las asignaturas de Seguridad Informatica en los cursos
anteriores, a los alumnos por sus valiosas aportaciones,
a todos los ponentes de los seminarios organizados para
la asignatura y a los ponentes de ISACA que participaron
en el Ciclo de Seminarios sobre Ciberseguridad de ISACA
(todos ellos nos han ayudado desinteresadamente) y a
todos los involucrados en la organizacion del Techfest 4
y del CyberCamp2014.
Referencias
[1] Frost and Sullivan. The 2013 (ISC)2
global information security workforce study.
https://www.isc2.org/uploadedfiles/(isc)2 public content/2013
[2] J. Mirkovic and T. Benzel. Teaching cybersecurity with
DeterLab. IEEE Security & Privacy, 10(1):7376, 2012.
[3] Richard Weiss, Michael Locasto, Jens Mache, and Vincent
Nestler. Teaching cybersecurity through games: a cloud-based
approach. Journal of Computing Sciences in Colleges,
29(1):113115, 2013.
[4] L. Ben Othmane, V. Bhuse, and L.T. Lilien. Incorporating
lab experience into computer security courses. In Proceedings
of the 2013 World Congress on Computer and Information
Technology, pages 14, 2013.
[5] K. Salah, M. Hammoud, and S. Zeadally. Teaching
cybersecurity using the cloud. IEEE Transactions on Learning
Technologies, 2015.
[6] Conferencia de Decanos y Directores de Informatica (CODDI).
Acuerdos de la conferencia de decanos y directores
de informatica sobre titulaciones en el EEES.
https://www.fi.upm.es/docs/conocenos/resumen de prensa/
151 CODDI.pdf.
[7] IEEE and ACM. Computer science curricula 2013.
https://www.acm.org/education/CS2013-final-report.pdf.
[8] IBMs cyber security innovation program.
https://www-304.ibm.com/ibm/university/academic/pub/page/
teaching topics.
[9] National initiative for cybersecurity education.
http://csrc.nist.gov/nice/.
181
1
Laboratorio Docente de Ciberseguridad basado en

live-USB
Rafael A. Rodrguez Gomez1 , Francisco Lopez Perez, Mara Guarnido Ayllon, Monica Leyva
Garca, Anabel Reyes Maldonado, Antonio Munoz Gijon, Jose Enrique Cano, Jose Camacho1
E.T.S. de Ingeniera Informatica y de Telecomunicacion, Universidad de Granada
C/Periodista Daniel Saucedo Aranda s/n, E-18071, Granada
1
Correspondencia a: rodgom@ugr.es, josecamacho@ugr.es
Resumen Este artculo introduce una propuesta de la- torio, que instala el nuevo software en un conjunto redu-
boratorio virtual para la docencia practica en cibersegu- cido de sistemas operativos con los que el alumno puede
ridad en redes de ordenadores. Dicha solucion contribuye
a aumentar la flexibilidad y versatilidad de los escenarios iniciar la sesion. Dicha incorporacion debe ser planifica-
de red utilizados en las practicas docentes. La solucion se da con suficiente antelacion, ya que se debe comprobar
basa en dispositivos USB de inicio, o live-USB, que per- que las nuevas herramientas funcionan adecuadamente y
miten arrancar un sistema operativo con varias maquinas
virtuales conectadas en red. Este sistema permite que un
no interfieren en el funcionamiento de otras herramientas
alumno pueda utilizar con sencillez una red virtualizada instaladas con anterioridad. Unido esto a la necesidad de
sin necesidad de realizar instalaciones en su propio PC. realizar las practicas de seguridad en un entorno controla-
Por otro lado, utilizando esta solucion en los laboratorios do, por lo general sin acceso a Internet y con funcionalidad
docentes, se permite el diseno de contenidos practicos con
mayor agilidad, considerando escenarios mas flexibles y de muy restringida, hace que el entorno de trabajo diste de
mayor tamano. El artculo introduce un caso practico ba- ser realista y que la generacion de material practico para
sado en el laboratorio virtual para ilustrar su versatilidad la docencia de seguridad resulte limitada y poco eficiente.
y posibilidades.
Por otro lado, el numero limitado de sistemas operati-
vos para el uso del laboratorio, as como de puestos en los
I. Introduccion laboratorios, limita la reproduccion de condiciones realis-
El Informe Anual de Seguridad de Cisco [1] en 2014 tas en las sesiones practicas. Tradicionalmente, para pa-
establece que uno de los retos fundamentales para la in- liar este problema, se ha hecho uso de herramientas de
dustria en el ambito de las Tecnologas de la Informacion simulacion. No obstante, en el dominio de la seguridad en
y la Comunicacion (TIC) es encontrar profesionales ade- red la simulacion impone serias limitaciones. Por ejemplo,
cuadamente preparados para prevenir, detectar y mitigar si bien es posible simular el trafico de una red con cier-
amenazas de seguridad. En dicho informe, se estima que la ta fidelidad, no existen herramientas especializadas para
demanda de estos profesionales supera a la oferta en mas simular vulnerabilidades en sistemas, ataques concretos,
de un millon. Adicionalmente, el aumento en numero y herramientas fundamentales en el analisis de la seguridad
sofisticacion de las amenazas de seguridad lleva a la nece- en red, etc.
sidad de potenciar determinadas habilidades anteriormen- En este artculo se propone un diseno de laboratorio vir-
te poco comunes en los profesionales de seguridad, como tual de seguridad en red que se adapta a las necesidades
es la capacidad de analisis de grandes conjuntos de datos docentes actuales. La solucion propuesta combina los con-
(Big Data) o el dominio de la seguridad en tecnologas no- ceptos de virtualizacion y USB de inicio (live-USB), que
vedosas, como comunicaciones moviles, Bring Your Own permite arrancar un sistema operativo anfitrion o host con
Device (BYOD) y la nube. una red virtualizada de maquinas virtuales guest a traves
La conocida web de profesionales TIC TechRepublic [2], de VirtualBox. Dichas maquinas guest, as como el siste-
en una consulta realizada a influyentes profesionales eje- ma host que las alberga, pueden ser personalizadas previa-
cutivos y de equipos de recursos humanos, identifica que mente por el docente, de acuerdo al trabajo de laboratorio
las principales tendencias de contratacion de profesionales que se quiera ofrecer al alumno. Integrando la red virtua-
TIC en 2014 incluiyen conocimientos de analisis Big Data, lizada en dispositivos live-USB con suficiente capacidad,
comunicaciones moviles, la nube y seguridad en red. Otras es posible cambiar el comportamiento de cada PC en el
listas similares coinciden en la priorizacion de la seguridad laboratorio de acuerdo a la practica concreta a realizar.
como uno de los principales retos del futuro inmediato. La inclusion de nuevas herramientas en el laboratorio es
La demanda actual de profesionales de seguridad re- tan sencilla como la instalacion de dicha herramienta en
quiere la definicion de unas instalaciones docentes de gran un nuevo USB de inicio. Esto aporta una flexibilidad y ca-
flexibilidad, donde poder incorporar herramientas actua- pacidad de generacion de nuevos materiales muy superior
les y reproducir condiciones realistas en casos de estudio. a la actual. Adicionalmente, la virtualizacion permite es-
Por desgracia, el diseno actual tpico de los laboratorios calar las practicas a mayor cantidad de maquinas, ya que
de docencia practica no permite dicha flexibilidad. La in- cada PC real puede simular varias maquinas virtuales. La
corporacion de nuevas herramientas a los laboratorios re- combinacion de la virtualizacion con los dispositivos de
quiere de la dedicacion exclusiva de personal de labora- interconexion disponibles en los laboratorios (conmutado-
182
2
res, encaminadores, tarjetas de red cableadas e inalambri-

cas, etc.) ofrecen gran flexibilidad y gran realismo. Final-
mente, los live-USB pueden ser utilizados por los alumnos
en sus equipos de casa para finalizar una practica inaca-
bada o para preparar las practicas adecuadamente y con
antelacion.
El resto del artculo se estructura de la siguiente forma.
La propuesta se contextualiza en el laboratorio de redes
en la Escuela Superior de Ingenieras de Informatica y de
Telecomunicacion de la Universidad de Granada, introdu-
cido en la Seccion II. El diseno del laboratorio virtual se
justifica en la Seccion III. La Seccion IV explica la confi-
guracion del laboratorio por parte del docente. Un breve
caso de uso de este laboratorio aplicado al despliegue y
deteccion de una botnet es presentado en la Seccion V.
Finalmente, en la Seccion VI se indican las conclusiones
del presente trabajo y lnea de trabajo futuro.
Fig. 1. Estructura fsica y logica de los puestos del laboratorio 3.7.
II. Laboratorio de Redes en la Escuela
Superior de Ingenieras de Informatica y de
nuevo software necesario para la practica a realizar.
Telecomunicacion de la Universidad de
El laboratorio de redes dispone de 26 puestos de usuario
Granada
y varios equipos de comunicaciones e interconexion de re-
Las practicas en materia de seguridad requieren esce- des, como puede observarse en la Fig. 1. Estos sistemas se
narios realistas y cambiantes, donde haya dispositivos de articulan en base a unos bloques de equipos denominados
distintas caractersticas (firewalls, IDSs, servidores de to- islas que pueden funcionar de forma independiente entre
do tipo, etc) combinados con maquinas de usuario. Tam- s. Existen 4 islas en el laboratorio que contienen de 6 a 7
bien es deseable poder disponer de una alta variedad de equipos y 6 routers en cada una de ellas.
sistemas operativos, con y sin parches de seguridad an- Este laboratorio presenta dos conexionados fsicos fun-
te determinadas vulnerabilidades. Sin embargo, la flexibi- damentales: la red de gestion y la red de datos. La red
lidad necesaria para permitir la configuracion de dichos de datos es la que interconecta los equipos de una misma
escenarios esta lejos de los laboratorios de red actuales. isla entre s y con las demas islas. La red de gestion in-
En primer lugar, generalmente un laboratorio de red dis- terconecta en un mismo switch todos los dispositivos del
pone de un conexionado fsico concreto y un numero de laboratorio.
maquinas fijo que no puede ser alterado a menos que se En este laboratorio los alumnos pueden cargar, gracias
invierta tiempo y dinero en el. Esta nueva configuracion al uso de Rembo, distintos sistemas operativos en los equi-
sera compleja y no puede ser modificada de una practica pos. Concretamente, para tener acceso de super-usuario y
a otra. Otro inconveniente es que los alumnos requieren de poder utilizar el conexionado de red mencionado anterior-
un acceso fsico al laboratorio para realizar las practicas mente es necesario arrancar en una opcion concreta que
docentes lo que les impide finalizarlas desde sus equipos solo permite escoger los sistemas operativos Windows XP,
personales o prepararlas convenientemente con anteriori- Ubuntu 8.10 y Ubuntu 12.04. Por motivos de seguridad la
dad a la asistencia al laboratorio. eleccion de la opcion de redes inhabilita la interfaz de red
En el resto del artculo, nos centraremos en el labora- que da acceso a Internet a los equipos as que, entre otras
torio de redes de la Escuela Superior de Ingenieras de desventajas, la instalacion de nuevos paquetes software en
Informatica y de Telecomunicacion de la Universidad de el curso de las practicas se hace, desde esta opcion, bas-
Granada (ETSIIT-UGR), donde se realizan entre otras las tante compleja.
practicas de asignaturas de seguridad en red. En todos los La carga del sistema operativo escogido a traves de
laboratorios de la escuela se utiliza el sistema Rembo [3] Rembo puede tardar, dependiendo de la carga de la red,
para descargar al inicio de cada practica una copia limpia hasta 10 minutos en los que el alumno no dispone de equi-
(alojada en un servidor centralizado) de un sistema opera- po con el que comenzar la practica. Por otro lado, cual-
tivo con el software necesario ya instalado en el. Esto per- quier modificacion de las imagenes de los sistemas opera-
mite que los alumnos dispongan de un equipo siempre en tivos almacenados en el servidor centralizado de Rembo
perfectas condiciones. Sin embargo, tambien implica que debe pasar por un tecnico de la escuela limitando de algu-
los docentes han de contactar, con tiempo suficiente, con na forma la libertad y agilidad del docente encargado de
los tecnicos de la escuela para instalar el software necesa- las practicas.
rio para sus practicas en la copia centralizada alojada en
el servidor Rembo. En concreto, en el laboratorio de redes III. Solucion propuesta
no se permite el acceso a Internet por motivos de seguri- Con el objetivo de paliar estas deficiencias en el presente
dad, ya que los alumnos tienen permisos de super-usuario artculo se busca una arquitectura para un laboratorio de
en los equipos del mismo. Esto complica la instalacion de red que cumpla los requisitos de flexibilidad, simplicidad,
183
3
seguridad y portabilidad. Siguiendo estos requisitos, se ha VMWare (www.vmware.com) Es el estandar del mer-
escogido una estructura de laboratorio de red con maqui- cado ya que es el mas rapido, estable y seguro, principal-
nas fsicas conectadas entre s por medio de dispositivos mente en sus versiones de pago. Actualmente ofrece dos
fsicos de interconexion. En estas maquinas fsicas cada versiones gratuitas, VMWare Player y VMWareESXi, pe-
alumno conecta un live-USB con el que arranca el sistema ro con ciertas limitaciones. Es multi-plataforma.
operativo preparado para la practica concreta a desarro- De entre estas opciones, la mas atractiva es VirtualBox,
llar. Cabe destacar que estos live-USB contienen una serie ya que combina su caracter de software libre con unas
de maquinas virtuales (dentro del software VirtualBox). prestaciones altamente competitivas.
Por un lado, las maquinas virtuales aportan flexibili- Una herramienta muy interesante que mezcla simula-
dad en cuanto al numero de maquinas de las que dispone cion, emulacion y virtualizacion es GNS3 (www.gns3.net).
el laboratorio. Por otro lado, el uso de live-USB permite Este software permite, mediante un entorno grafico, di-
flexibilidad con respecto a los S.O. utilizados y simplici- bujar y configurar una topologa de red y posteriormente
dad para configurar los dispositivos USB. Adicionalmente, simular su comportamiento. Soporta configuracion y emu-
estos USB siempre permanecen en el estado inicial para lacion de dispositivos de interconexion con sistema opera-
poder volver a ser utilizados en la siguiente practica o reto tivo IOS CISCO e incorpora maquinas virtuales a traves
por distintos alumnos. Por ultimo, es posible utilizar este de VirtualBox a la topologa de red disenada. Este soft-
sistema en un unico equipo como laboratorio en casa con ware permite simular niveles de enlace diversos como Et-
el objetivo de que el alumnado pueda avanzar, finalizar o hernet, FrameRelay, ATM, etc., as como dispositivos de
rehacer las practicas desde su equipo personal. interconexion del nivel de enlace como switches. Ademas,
A continuacion se discuten algunas de las caractersticas el trafico que se genera en la red simulada puede ser cap-
del sistema. turado con el software de monitorizacion de paquetes Wi-
reshark. Sin embargo, la emulacion de sistemas de interco-
A. Software de virtualizacion nexion en GNS3 ralentiza el procesamiento. As, conside-
rando que los laboratorios de practicas tienen disponibles
La virtualizacion permite utilizar mas de un sistema dispositivos fsicos de interconexion, no parece necesario,
operativo en un mismo ordenador, de forma simultanea y sino contraproducente, su emulacion.
persistente. Utiliza las ventajas de emuladores y sistemas Teniendo en cuenta los objetivos especificados para el
con arranque multiple, pero eliminando sus limitaciones, laboratorio virtual, la disponibilidad de hardware real de
ya que los emuladores no permiten ejecutar directamente interconexion de red en los laboratorios de la ETSIIT, y
el codigo del sistema huesped y los sistemas con arranques analizando todas las posibilidades disponibles, la opcion
multiples permiten mas de un sistema operativo pero no elegida en este trabajo pasa por combinar el uso de Vir-
simultaneo. tualBox con dispositivos de interconexion reales. De esta
El proceso de virtualizacion se basa principalmente en forma se obtiene un entorno flexible y realista que minimi-
montar un sistema operativo, denominado maquina vir- za los recursos para la virtualizacion. Esto permite escalar
tual o guest, mediante la instalacion de un software, el las practicas docentes a mayor cantidad de maquinas, ya
hipervisor, por encima del SO que usamos normalmente, que cada PC real puede simular varias maquinas virtuales
llamado anfitrion o host. de dispositivos finales, que incluyan: maquinas vulnerables
Uno de los inconvenientes de las maquinas virtuales es a ataques, maquinas atacantes o de test de penetracion,
su coste computacional, que lleva a que la ejecucion de un etc.
gran numero maquinas pueda saturar facilmente los re-
cursos de la maquina anfitriona. Aun as, suele compensar B. Sistema live USB
la perdida de eficiencia con la gran flexibilidad y realismo A la hora de disenar el sistema live-USB, es importan-
que aportan. te decidir cual va a ser el SO que actuara como host en
Actualmente las plataformas de virtualizacion mas im- el mismo, as como las herramientas necesarias para su
portantes para el uso de maquinas virtuales son las si- conversion a live-USB.
guientes: Atendiendo al tipo de host a escoger, las distribuciones
VirtualBox (www.virtualbox.org) Solucion profesional GNU/Linux son quizas la opcion mas atractiva, ya que
gratuita y disponible como software de codigo abierto cuentan con mayor experiencia trabajando con dispositi-
GNU (GPL). Tiene soporte multi-plataforma incluyendo vos Live. En comparacion con las distribuciones de otras
Solaris y una lista creciente de caractersticas como ins- fabricantes, presentan las siguientes ventajas:
talar el software con privilegios adicionales a la maquina Alta velocidad de procesamiento.
fsica, tareas como compartir, archivos, unidades, periferi- Gran robustez gracias a su sistema de permisos.
cos, etc. Estabilidad frente a problemas, traducido en una gran
KVM (www.linux-kvm.org) Solucion para implementar productividad.
virtualizacion completa con Linux. Utiliza una version mo- Mayor flexibilidad y portabilidad.
dificada de QEMU (emulador de procesadores), que per- Entre la extensa gama de sistemas operativos
mite obtener un rendimiento espectacular cuando no se GNU/Linux, Ubuntu puede ser una solucion acertada pa-
trata de Microsoft Windows como guest. No tiene un so- ra tomar como host del USB. Ademas de que permite
porte completo para controladores. trabajar con software de virtualizacion como VirtualBox,
184
4
Ubuntu cuenta con una interfaz grafica de trabajo bastan-

te intuitiva. Por ultimo, Ubuntu cuenta con la herramienta
Systemback. Systemback realiza dos procesos de gran rele-
vancia para el laboratorio virtual: genera una imagen don-
de vuelca una copia en vivo del sistema operativo Ubuntu
que la contiene y graba dicha imagen dentro de un dispo-
sitivo live-USB. En comparacion con otras opciones mas
conocidas de generacion de live-USB, Systemback tiene
las siguientes ventajas:
Es capaz de generar copias en vivo de instantaneas de
sistemas Ubuntu personalizados, no solo de distribuciones
oficiales como es el caso de UNetbootin y similares.
Puede generar live-USB a partir de las imagenes gene-
radas.
Permite planificar, dentro del mismo sistema operativo
Ubuntu, la configuracion y personalizacion requerida de
maquinas virtuales, de modo que para realizar cambios en
Fig. 2. Esquema de red virtual de un live-USB.
el live-USB, basta con generar un nueva imagen a partir
de Systemback para que esta sea volcada en el dispositivo.
No produce errores en el etiquetado de las particiones
que se generan en el live-USB.
Se puede acceder a su codigo fuente, ademas de aceptar
mejoras propuestas por los usuarios gracias a su caracter
de software libre.
IV. Montaje del laboratorio

Los escenarios de practica docente que se derivan de la
implementacion de esta herramienta pueden evolucionar
desde el trabajo local en un mismo equipo fsico, hasta
varios equipos de un mismo laboratorio de red conectados
entre s, tanto fsica como virtualmente. El mecanismo de Fig. 3. Esquema de red con varios live-USB interconectados.
configuracion de los live-USB es el mismo para ambos es-
cenarios, si bien la conectividad de red para interconectar
distintos dispositivos fsicos iniciados con live-USB es mas el profesor. Esto reduce el esfuerzo y tiempo del docente
compleja. en la resolucion de problemas de instalacion sin suponer
De forma resumida, el docente debe realizar una serie un esfuerzo adicional ya que el desarrollo de copias del
de pasos para crear el live-USB: live-USB es sencillo.
Instalar Oracle VM VirtualBox en su PC. Todos los alumnos disponen de la misma, exacta, con-
Crear una maquina virtual Ubuntu. Esta maquina figuracion de red virtualizada incluso a nivel de sistema
hara las veces de sistema host en el live-USB. host. Esto reduce problemas que, por ejemplo, puedan sur-
En dicha maquina host, debe instalarse la herramienta gir por la instalacion de un hipervisor concreto en distintos
VirtualBox. SO.
Con VirtualBox, se generan (o anaden si ya estaba crea- La portabilidad de la red virtualizada es total, de for-
das) las maquinas guest de acuerdo a los requerimientos ma que el alumno puede trabajar con la misma red en
de la practica docente que se quiera realizar. distintas maquinas fsicas o bien distintos alumnos pue-
Con VirtualBox, se configura la red entre dichas maqui- den compartir un mismo live-USB.
nas. La configuracion de red externa esquematizada en la
En la maquina host, debe instalarse la herramienta Sys- Fig. 3 muestra la incorporacion de la red fsica del labo-
temback, con la que se genera el live-USB. ratorio al entorno virtual. El objetivo es lograr que, me-
Una vez acabada dicha configuracion, se obtiene una diante el arranque del live-USB en distintos equipos del
red virtual en un unico dispositivo fsico, como ilustra con laboratorio, sea posible la comunicacion entre maquinas
un ejemplo la Fig. 2. Esta red virtual puede ser usada de virtuales de manera remota. Para la recepcion de conexi-
forma individual por parte de los estudiantes para realizar ones externas que tienen como destino maquinas virtuales
experimentos practicos por su cuenta, con las siguientes de la red propia interna, se establece una corresponden-
ventajas: cia entre los puertos de la maquina host y las maquinas
El alumno no tiene que hacer la instalacion del hipervi- virtuales, de manera que el host contiene una tabla de en-
sor en su propio ordenador, ni de las posibles herramientas caminamiento complementaria a traves de Iptables que le
necesarias en las distintas maquinas guest y host. Solo tie- permite hacer llegar las conexiones por estos puertos a sus
ne que realizar una copia del live-USB desarrollado por maquinas virtuales asociadas.
185
5
V. Caso de uso del laboratorio de seguridad: este ejemplo concreto se ha utilizado Windows XP. El soft-
despliegue y deteccion de la botnet Zeus ware para el botmaster cuenta con una herramienta para
El objetivo fundamental de esta seccion es mostrar la editar y compilar un archivo de configuracion y crear un
funcionalidad de la arquitectura de laboratorio de redes archivo .bin y un ejecutable que ha de ser enviado y eje-
propuesta por medio de un caso de uso. En este caso con- cutado en la maquina vctima. Este ejecutable es lo que se
creto se va a utilizar la botnet Zeus como codigo malicioso conoce comunmente como el troyano Zeus o Trojan.Zbot.
por ser un malware muy extendido y presentar una serie Ademas el botmaster puede acceder a un panel de con-
de caractersticas de red interesantes que pueden ser de trol donde se muestran estadsticas acerca de los numero
una gran utilidad para aprender a utilizar herramientas de ordenadores infectados, numero actual de los robots en
de deteccion de intrusiones (Snort), de analisis grafico de la lnea, numero de nuevos bots, actividad diaria de es-
logs (Splunk) o de visualizacion (AfterGlow). tos, estadsticas de los pases en los que se encuentran las
maquinas infectadas y SO de las mismas.
A. Entorno experimental
Servidor Web: El servidor Web es una maquina vir-
El entorno propuesto esta disenado para la ejecucion de
tual de Ubuntu 12.04.4 LTS que incluye el servidor web
una practica en grupos de 2 alumnos sobre el funciona-
XAMPP, distribucion de Apache muy extendida por su fa-
miento y deteccion de las botnets. Las botnets son redes
cilidad de instalacion al incluir directamente la instalacion
de equipos comprometidos denominados bots que siguen
de Apache, MySQL, PHP y Perl. En este servidor se han
las ordenes de un operador humano llamado botmaster.
instalado dos paginas web: una desde la que las maqui-
En concreto la botnet utilizada es Zeus, tambien conoci-
nas vctima descargaran el ejecutable del Zbot y otra que
da como Zbot, Kneber, PRG, NTOS, Wsnpoem and Gor-
contiene un formulario a rellenar por los clientes, de forma
hax [4]. Esta botnet dispone de una herramienta DIY (Do-
que la informacion introducida en este pueda ser robada
it-yourself) por medio de la cual el desarrollador facilita
por las maquinas comprometidas que la visiten.
todas las herramientas necesarias para construir y admi-
nistrar la botnet. En esencia Zeus es una red de bots que se
Equipo Fsico del Alumno 2:
comunican a traves del protocolo HTTP. Todas las comu-
nicaciones de comando y control (C&C) se realizan remo-
Deteccion: Esta maquina es la anfitriona y su sistema
tamente desde un sitio web gestionado por el botmaster.
operativo es Ubuntu 12.04.4. El objetivo fundamental de
Zeus se ha especializado en robar credenciales bancarias en
esta maquina es intentar detectar los equipos infectados
los equipos con el sistema operativo Microsoft Windows.
por el troyano Zeus analizando el trafico de red que pasa
Zeus se compone de un elemento cliente y otro servi-
por ella. Para esto se utilizaran tres herramientas funda-
dor. El servidor cuenta con un generador de malware que
mentalmente: Snort, Splunk y AfterGlow. Snort [5], es un
ayuda al botmaster a crear el codigo cliente del malware
sniffer de paquetes y detector de intrusos basado en red
cuyo nombre tecnico es PWS-ZBot, para posteriormente
que implementa un motor de deteccion de ataques y rea-
infectar los equipos y unirlos a la red de bots, conectando-
liza un barrido de puertos que permite registrar, alertar
los a un sitio web remoto que aloja el servidor Zeus. Por
y responder ante cualquier anomala previamente defini-
ultimo, una vez que el troyano Zeus infecta una maqui-
da. Splunk [6] es una herramienta para monitorizar datos,
na, cuando el usuario final visita una pagina web con un
almacenar, analizar y generar graficos para alertar e iden-
formulario el troyano captura cada uno de los campos de
tificar patrones de ataque o diagnosticar problemas en un
dicho formulario y enva su contenido al servidor que los
infraestructura IT. Por ultimo, AfterGlow [7] es una he-
almacena en una base de datos.
rramienta de visualizacion que puede ser instalada como
En la practica disenada como caso de uso se pretende
un plug-in de Splunk.
montar un entorno en el que Zeus pueda funcionar y ser
detectada. En esta practica cada alumno es responsable
Bots: Los sistemas operativos que pueden ser infecta-
de configurar y operar un equipo fsico que contiene al
dos por el troyano Zeus, convirtiendose en bots HTTP,
menos una maquina virtual. La configuracion inicial de
son Windows XP, Windows 2000, Windows 7, Windows
sistemas operativos, herramientas instaladas y maquinas
95, Windows 98, Windows Me, Windows NT, Windows
virtuales disponibles viene determinada por los live-USB
Server 2003, Windows Server 2008 y Windows Vista. En
que el docente entrega a cada alumno al inicio de la practi-
concreto para este caso de uso se ha escogido como siste-
ca y que han sido completamente configurados previamen-
ma operativo de las maquinas virtuales que hacen de bot
te por este.
Windows XP por ser el mas ligero e implicar una menor
En la Fig. 4 se detalla el mapa de red de los dos equipos
carga de memoria RAM en el equipo 2. El funcionamiento
fsicos incluyendo las maquinas virtuales que contienen.
del bot se basa en la interceptacion de la API de Windows,
Estos son:
mediante la ejecucion de una copia de su codigo en cada
proceso de usuario. Gracias a esto es capaz de detectar
Equipo Fsico del Alumno 1:
la informacion introducida en los formularios de las pagi-
nas web que sera enviada con posterioridad al servidor de
Botmaster : El codigo de control para el botmaster de
Zeus. En todos los casos, se usaron licencias de software
Zeus es soportado por los siguientes sistemas operativos
Microsoft para uso docente.
XP / Vista / 7, as como 2003/2003R2/2008/2008R2. En
186
6
Fig. 4. Mapa de red del caso de uso del laboratorio de red.
WebFilters: Lista de URLs que deben ser monitoriza-

Ubuntu: Con el fin de dotar la red de caractersticas das. Los datos enviados a estas URLs tales como creden-
fieles a la realidad, se incluye esta maquina virtual no com- ciales de banca online son capturados antes de establecerse
prometida con el sistema operativo Ubuntu 12.04.4 LTS. SSL y posteriormente enviados al servidor C&C. Ademas,
Gracias a esta sera posible demostrar si la deteccion es ofrece la posibilidad de tomar una captura de pantalla del
capaz de diferenciar entre trafico legtimo o anomalo. cliente cuando este pulse el boton izquierdo de su raton,
siendo esto realmente util para el robo de numeros PIN.
WebFakes: Con este parametro se puede redirigir la di-
B. Experimentacion reccion URL especificada WebFakes a una URL diferente,
version potencialmente falsa de la misma.
Siguiendo las fases de una botnet definidas en [4] la ex-
Una vez que el archivo de configuracion ha sido editado
perimentacion para desplegar y utilizar la botnet se divide
en base al fin perseguido se procede a la creacion de los
en: concepcion, reclutamiento, interaccion y ejecucion del
ejecutables utilizando la herramienta Zeus Builder.
ataque. Finalmente, se expondran brevemente algunas po-
Finalmente, es de resaltar que el objetivo de este ca-
sibilidades de deteccion propuestas en la practica.
so de uso no es comprobar la calidad de la operacion de
Zeus, sino determinar la capacidad de deteccion que los
B.1 Concepcion
alumnos pueden desarrollar para evitar que amenazas co-
En la etapa de concepcion de la botnet es necesario crear mo esta puedan perpetrar la seguridad de los sistemas
los ejecutables que infectaran las maquinas vctima y la que gestionen en un futuro. Es por ello que no se pretende
herramienta que se utilizara para controlarlos enviandoles realizar pruebas con todas y cada una de las posibilida-
mensajes C&C. Con el codigo DIY de Zeus estas dos ope- des que ofrece la botnet, sino mas bien determinar si es
raciones se consiguen configurando el archivo config.txt. detectado en el momento de ejecucion del bot.exe y/o en
El archivo de configuracion se divide en dos secciones: el intercambio de mensajes con el servidor C&C mientras
staticConfig y dynamicConfig [8]. StaticConfig contiene se roban datos introducidos en el formulario.
los parametros que son codificados en el bot y a los que
obedece y dynamicConfig los parametros que pueden ser B.2 Reclutamiento e Interaccion
cambiados tras la creacion del Zbot, ya que no son codi- Terminada la fase de concepcion es necesario distribuir
ficados por el builder, sino que son guardados como una e instalar el codigo malicioso generado a fin de reclutar
configuracion encriptada a la que el bot tiene acceso a ellos miembros de la botnet. Para esto, en esta practica se utiliza
en todo momento. una pagina web del servidor web desde la que las maquinas
Los parametros fundamentales a configurar de este ar- vctima se descargan e instalan el codigo malicioso.
chivo (tanto de la seccion staticConfig como de la seccion Tras la ejecucion, el cliente se convierte en un robot de la
dynamicConfig) son: botnet y el ejecutable descargado y usado en la instalacion
timer logs: Frecuencia con la que el bot manda datos al se elimina de forma automatica. A partir de este momento,
botmaster. el botmaster en su servidor registra al equipo infectado y
url config: URL donde se encuentra el config.bin. Esta puede comenzar la etapa de interaccion a traves de la que
sera usada en la creacion del bot determinando el nombre las comunicaciones C&C por medio del protocolo HTTP
con el que el builder creara el .bin se realizan. Las comunicaciones son codificadas utilizando
187
7
Fig. 5. Panel de control de la botnet Zeus
Fig. 6. Logs detectados por Snort
Fig. 7. Deteccion por Splunk
RC4 con una clave especificada por el botmaster en el B.3 Ejecucion del ataque
archivo de configuracion.
El objetivo final de toda botnet es realizar un ataque exi-
toso. Esto se lleva a cabo por medio de la infraestructura
de C&C establecida y configurada en las fases de recluta-
Inicialmente, el bot enva una solicitud GET al servidor miento e interaccion. Para controlar esta infraestructura
de comando y control para recuperar el archivo de configu- el botmaster dispone de un panel de control centralizado.
racion. Ademas, este proceso se repite en tantas ocasiones En este panel de control se muestra informacion sobre
como indique el campo timer config del config.txt. Cada cuantos equipos hay infectados, cuanto tiempo estan acti-
vez que el bot debe enviar informacion al servidor de co- vos, el numero de reportes de cada bot, la version del bot
mando y control, enva una solicitud POST al servidor que tienen instalada, etc.
central de la botnet. Este servidor utiliza una base de da- En cuanto el bot.exe es ejecutado, este roba automatica-
tos MySQL llamada bssnet para almacenar informacion mente la informacion almacenada en PSTORE (Protected
acerca de la botnet y las tareas que deben realizar. Storage), la cual usualmente contiene guardadas contra-
188
8
senas de Internet Explorer. Ademas comienza a capturar para su imparticion en titulaciones de la Universidad de
y almacenar en la base de datos automaticamente contra- Granada.
senas FTP y POP3 que son enviadas a traves de la red.
Para consultar las contrasenas que los bots han consegui- Agradecimientos
do recopilar hay que dirigirse dentro del panel de control Este trabajo ha sido parcialmente financiado por el Pro-
a Menu>Reports>Search in database. En este momento, grama de Innovacion Docente de la Universidad de Gra-
se puede hacer un filtrado para buscar resultados de bots nada, con la beca 14-54.
concretos con determinados parametros, ver Fig. 5, o sim-
plemente mostrar todos los resultados de la base de datos. Referencias
Es posible adicionalmente capturar la pantalla del bot [1] C. Systems, Annual Report 2014, Tech. Rep., 2014,
http://investor.cisco.com/files/doc downloads/annual meeting/Cisco-
con el objetivo de encontrar las contrasenas introducidas Systems-Annual-Report.pdf.
por medio de teclados virtuales en lugar de introducidas en [2] T. Hammond, Top IT job skills for 2014: Big da-
los formularios directamente. Ademas, no solo se obtiene ta, mobile, cloud, security, TechRepublic, Tech. Rep.,
2014, http://www.techrepublic.com/article/top-it-job-skills-in-
informacion sobre las credenciales y capturas de pantalla, 2014-big-data-mobile-cloud/.
sino que se aportan datos como la version exacta del sis- [3] E. Young, REMBO: A Complete Pre-OS Remote Management
tema operativo o el tiempo online del mismo entre otros. Solution REMBO Toolkit 2.0 Manual, 2002.
[4] R. A. Rodrguez-Gomez, G. Macia-Fernandez, and P. Garca-
Teodoro, Survey and Taxonomy of Botnet Research Through
B.4 Deteccion Life-cycle, ACM Comput. Surv., vol. 45, no. 4, pp. 45:145:33,
Aug. 2013.
Para la parte de deteccion de la practica propuesta se [5] Pagina principal de Snort, https://www.snort.org/, [Ultimo
comienza por configurar Snort con las reglas de deteccion acceso: 15 julio 2015].
por defecto. Los logs generados por Snort son enviados a [6] Pagina principal de Splunk, http://www.splunk.com/, [Ulti-
mo acceso: 15 julio 2015].
Splunk para su visualizacion. A modo de ejemplo, en la [7] Pagina de AfterGlow, http://afterglow.sourceforge.net/, [Ulti-
Fig. 6 se muestran algunos de esos logs. mo acceso: 15 julio 2015].
Splunk permite la visualizacion de logs as como la apli- [8] W. Xiangyu, ZeuS The Missing Manual,
http://www.docstoc.com/docs/90755139/ZeuS-The-Missing-
cacion de reglas de deteccion. Al igual que con Snort, se
Manual, [Ultimo acceso: 15 de julio 2015].
utilizan las reglas de deteccion por defecto en Splunk. En
la Fig. 7 se puede ver la alerta Posible Troyano Zeus
creada para la deteccion de una infeccion por parte del
Troyano Zeus. Adicionalmente, se muestra una visualiza-
cion de Afterglow.
B.5 Discusion
Si bien la experiencia preparada para ilustrar el uso del
laboratorio virtual es de claro interes en el marco la docen-
cia practica de seguridad, y muestra la ventaja de dotar
de flexibilidad en numero y tipo de dispositivos a dicho
laboratorio, la realidad es que este sistema de deteccion
tiene altas limitaciones para la deteccion de botnets. En
la actualidad, se esta trabajando en una propuesta de de-
teccion distribuida con el objeto de mejorar el rendimiento
de deteccion.
VI. Conclusiones y trabajo futuro

En este trabajo se ha presentado el diseno de un la-
boratorio virtual basado en dispositivos live-USB. Dicho
laboratorio permite una amplia flexibilidad de contenidos
en las experiencias practicas y de topologas de red con-
sideradas. En combinacion con los dispositivos fsicos de
interconexion disponibles en la Escuela Superior de Inge-
nieras de Informatica y de Telecomunicacion de la Uni-
versidad de Granada, dichos live-USB permiten la confi-
guracion de escenarios de seguridad realistas que pueden
ser configurados con gran agilidad por parte del profesor.
Adicionalmente, los live-USB permiten a los estudiantes
realizar experimentos practicos de escenarios en red sin
mas ayuda que su propio PC.
El trabajo futuro estara destinado a validar esta idea
de laboratorio con la generacion de materiales concretos
189
1
Bachillerato de Excelencia, Criptografa y

Seguridad de la Informacion: Una oportunidad
Angel Martn del Rey, Ascension Hernandez Encinas, Jesus Martn Vaquero,
Araceli Queiruga Dios, Gerardo Rodrguez Sanchez
Departamento de Matematica Aplicada, Universidad de Salamanca
Resumen Dentro de las distintas modalidades de Bachi- que colaboran en el citado BIE. En este marco normativo,
llerato, se ha puesto en marcha en los dos ultimos anos el el Departamento de Matematica Aplicada de la Universi-
Bachillerato de Investigacion/Excelencia (BIE) que tiene
como principal diferencia una colaboracion, mas o menos dad de Salamanca ha colaborado con el BIE impartido en
estrecha, con diferentes departamentos universitarios. Los el IES Vaguada de la Palma de Salamanca durante los
autores, miembros del Departamento de Matematica Apli- cursos 20132014 y 20142015 y con el BIE desarrollado
cada de la Universidad de Salamanca, estan colaborando
con dos IES (uno de Salamanca y otro de Zamora) reali-
en el IES Claudio Moyano de Zamora durante el curso
zando distintas actividades relacionadas con la Criptografa academico 20142015. En ambos IES, el BIE impartido
y la Seguridad en la Informacion que han tenido muy buena se corresponde con la rama de Ciencia y Tecnologa y la
acogida entre los estudiantes de los centros involucrados. A tematica de las actividades llevadas a cabo se ha centrado
lo largo de este artculo describimos la experiencia realiza-
da y analizamos las propuestas de futuro. en la Criptografa y la Seguridad de la Informacion.
El objetivo de este trabajo es mostrar de manera deta-
llada dicha participacion, para lo cual se describiran las
I. Introduccion actividades llevadas a cabo y la actitud y acogida que se
El Bachillerato de Investigacion/Excelencia desarrolla- ha tenido por parte de los alumnos.
do en la Comunidad Autonoma de Castilla y Leon tiene El resto del trabajo se organiza como sigue: en la sec-
como finalidad estimular el aprendizaje autonomo, el tra- cion II se justifica la eleccion de la materia a impartir para
bajo en equipo y el interes por conocer diferentes metodos pasar, en en las secciones III y IV, a describir la experien-
y tecnicas de investigacion, en colaboracion directa con cia real llevada a cabo en los dos centros anteriormente
personal docente e investigador universitario [2]. La Uni- citados. Finalizamos el trabajo con la presentacion de las
versidad de Salamanca firmo en 2013 un convenio especfi- conclusiones y de las posibles propuestas a realizar duran-
co de colaboracion con la Junta de Castilla y Leon para te los proximos cursos.
el desarrollo de actividades asociadas a la investigacion
propias del BIE. II. Por que Criptografa y Seguridad de la
El BIE es una modalidad de Bachillerato que incorpo- Informacion?: Una justificacion
ra dos asignaturas (una en cada curso de Bachillerato) de A la hora de elegir una materia para nuestra tarea con
Introduccion a la Investigacion: Iniciacion a la investiga- estos alumnos de Bachillerato hay que considerar muchos
cion en el primer curso y un proyecto de investigacion factores. Por un lado, hay que tener en cuenta su bagaje
en el segundo. El contenido de las asignaturas tiene una matematico y por otro se trata de centrarnos en un tema
parte variable que depende de las actividades disenadas que sea de actualidad, de manera que nos permita motivar
por los distintos departamentos universitarios que colabo- e interesar a los alumnos desde el primer minuto. Creemos
ran en la rama del BIE correspondiente y que en nuestro que, bajo esas premisas, la solucion casi natural es dar los
caso es la rama de Ciencias y Tecnologa. Las activida- primeros pasos en el apasionante mundo de la Criptografa
des desarrolladas por los departamentos son muy diver- y de la Seguridad en la Informacion [3], siempre desde el
sas: conferencias, talleres, practicas de laboratorio, visitas punto de vista de las Matematicas.
a centros, etc. Ademas, la asignatura correspondiente al En pleno siglo XXI, con una explosion tecnologica sin
segundo curso del BIE conlleva la realizacion de un pe- precedentes en la historia, donde, para casi todas las ge-
queno proyecto de investigacion individual (solo en casos neraciones, el estar conectado es una necesidad de nues-
concretos se autoriza la realizacion de proyectos compar- tra sociedad, es conveniente adentrarse en un conocimien-
tidos) que es co-tutorizado por el profesor universitario to mas profundo de todo lo que rodea a la consecuencia
que propone el proyecto y por un profesor del Instituto de directa de la necesidad de conexion: la seguridad en la
Educacion Secundaria (IES) correspondiente. Ese proyec- transmision y gestion de datos. Obviamente, sera inge-
to tiene una estructura fijada en la normativa vigente y se nuo pensar que con estas actividades que vamos a llevar a
defiende en sesion publica usualmente durante el segundo cabo dentro del BIE vamos a resolver uno de los proble-
trimestre del curso de segundo de Bachillerato. mas acuciantes en nuestros das: la proteccion individual
Hay que hacer constar que la realizacion de esta colabo- y el uso racional de todas las herramientas que las tecno-
racion esta dentro de un proyecto de innovacion docente logas de la informacion ponen a nuestra disposicion. Pero
que financian la Universidad de Salamanca y la Junta de pensamos que pocas oportunidades tenemos de divulgar
Castilla y Leon, y en el que participan todos los profesores los principios basicos a los alumnos no universitarios, que,
190
2
ademas, son uno de los sectores mas vulnerables en estos

temas.
En definitiva, la eleccion de charlas y proyectos que tie-
nen que ver con la Criptografa y la Seguridad de la Infor-
macion nos parece la mas adecuada para cumplir un viejo
objetivo didactico poco habitual en el mundo de las Ma-
tematicas: ensenar divirtiendo. El resultado, al menos en
estas primeras comunicaciones con el mundo no universi-
tario, es espectacular. Los estudiantes muestran un interes
poco frecuente en temas que tengan que ver con las Ma-
tematicas y el hecho de que se utilicen palabras clave que
ellos conocen a traves del uso de Internet nos hace la mo-
tivacion de nuestras charlas y talleres muy facil.
Hemos abierto un camino de comunicacion con un sector
muy importante de la poblacion. Quiza uno de los mas ex-
puestos a los problemas de seguridad y pensamos que estas
Fig. 1. Diapositiva explicativa sobre la Envoltura Digital.
actividades pueden dar pie a una extension a otros niveles
educativos de charlas divulgativas que ayuden a reducir
los problemas de seguridad que tenemos como sociedad.
Hemos iniciado un camino que debemos explorar mas pro- Algoritmos criptogrficos: El DNI electrnico
fundamente, utilizando las herramientas que la normativa
vigente pone a nuestro alcance. En marzo de 2006 comienza la expedicin del DNIe.
III. IES Vaguada de la Palma: los inicios

A. Curso 20132014
En el curso 20132014 un grupo de 22 estudiantes de
primer curso de Bachillerato del IES Vaguada de la Pal- Los algoritmos que tiene implementados son los siguientes:
ma comenzaron las actividades del BIE. Dentro de es-
Esquema de firma digital RSA.
tas actividades, los autores de este trabajo propusieron
un taller basico sobre Criptografa y codificacion y la Funcin resumen SHA-1.
conferencia Matematicas para Proteger la Informacion, Cifrado en bloque: Triple DES.
programados para el primer cuatrimestre del curso y con 9
D.2'&+E"(1.+,'&+F'G4+AB>C
una duracion total de 3 horas: 2 horas en horario de tarde

para el taller y una hora por la manana para la conferen- Fig. 2. Diapositiva sobre el DNIe (curso 20142015).
cia.
El taller inicial se presento de forma eminentemente
practica, de modo que con unas pequenas nociones teori- En este sentido cabe citar que los conceptos, tecnicas y
cas los estudiantes aprendieron a cifrar y descifrar men- procedimientos que se mostraron a los alumnos fueron los
sajes utilizando los criptosistemas clasicos [1]. Conceptos siguientes:
como texto en claro, distribucion de claves o criptograma Fundamentos de los criptosistemas de clave secreta (ci-
son facilmente entendidos por los alumnos, as como la frado en flujo y cifrado en bloque).
diferencia entre cifrados por transposicion y cifrados por Fundamentos de los criptosistemas de clave publica.
sustitucion [7]. As, se les comento que la Criptografa es La envoltura digital.
una tecnologa de proteccion de datos, igual que los guan- Las funciones resumen y los message authentication co-
tes son una tecnologa de proteccion de las manos. En este des.
sentido la Criptografa protege los datos contra los piratas La firma digital.
informaticos, los espas de empresa y los timadores, mien- Ademas, se introdujeron de manera muy breve (y me-
tras que los guantes protegen las manos contra los cortes, diante ejemplos muy sencillos) algunos protocolos crip-
los rasgunos, el calor, el fro y las infecciones. tograficos. En este sentido, y teniendo en cuenta el nuevo
Como actividad complementaria del taller inicial, asis- paradigma de computacion en la nube, se trato de refor-
tieron a la conferencia titulada Matematicas para Prote- zar (de alguna manera) dicho concepto con el siguiente
ger la Informacion, que les permitio reforzar las tecnicas acertijo que se les propuso: es posible calcular de ma-
matematicas en las que se fundamentan los principales nera exacta la edad media de la clase de Bachillerato de
protocolos criptograficos (vease la Fig. 1), as como dife- Investigacion del IES Vaguada de la Palma sin cono-
rentes aplicaciones de la Criptografa y su utilizacion en cer ninguna de las edades de los alumnos? Estos recursos
el da a da, como es el caso del DNIe, del que se deta- didacticos ayudaron a reforzar la motivacion de los alum-
llaron, ademas de su utilidad, los algortimos que tienen nos y a intuir de alguna manera las tecnicas empleadas
implementados y que se detallan en la diapositiva de la en el desarrollo de protocolos criptograficos.
Fig. 2. Finalmente, se cerro el ciclo de actividades con una se-
191
3
gunda conferencia titulada Modelos Matematicos en Ci- como aritmetica de reloj, como son la obtencion de la letra
berseguridad en la que se mostraron algunas tecnicas ma- del DNI, los dgitos de control de una cuenta bancaria o las
tematicas empleadas en Seguridad de la Informacion, con- representaciones geometricas de congruencias aritmeticas
cretamente: denominadas Chryzodes.
Modelizacion matematica de la propagacion de malwa- La Criptografa por sustitucion es una aplicacion senci-
re. lla de la Aritmetica modular, que permite ocultar un texto
Modelos matematicos para detectar amenazas en las re- en claro sin mas que sustituir (como su propio nombre in-
des de comunicaciones. dica) unas letras por otras. En este trabajo, el alumno
La carga matematica de esta charla es menor que la de realizo un recorrido por la historia de la criptografa, uti-
la anterior y se focalizo la atencion en las aplicaciones lizando la Fig. 4 como esquema/resumen de los comienzos
practicas (vease la Fig. 3). de la Criptografa, hasta el cifrado de Cesar. En la par-
te final de su trabajo incluyo una aplicacion en Geogebra
(http://www.geogebra.org/) que permita diferentes cifra-
dos segun la clave propuesta.
Fig. 3. Diapositiva de Modelos Matematicos en Ciberseguridad.
B. Curso 20142015 Fig. 4. Presentacion de la historia de la Criptografa.

En el curso 20142015 se adhirieron al primer curso del
BIE otros 14 estudiantes. Impartimos las conferencias y En este tipo de trabajos se valora que el alumno or-
el taller tambien para estos nuevos estudiantes y tambien ganice y planifique adecuadamente la investigacion que
les entusiasmo. realiza, recopilando informacion procedente de internet o
Este mismo curso, los estudiantes del segundo curso del de fuentes documentales. Ademas, debe familiarizarse con
BIE, realizaron los proyectos de investigacion propuestos: las busquedas bibliograficas y citarlas correctamente. Para
Aritmetica modular y cifrados por sustitucion y Estu- este trabajo en particular el alumno busco referencias en
dio del criptoanalisis de la maquina ENIGMA. Estos pro- la biblioteca de su instituto y tambien en la Universidad.
yectos se realizaron en estrecha colaboracion con el tutor En un trabajo de Aritmetica modular no poda faltar la
del IES (perteneciente al departamento de Matematicas), referencia al libro de Gauss de Disquisitiones arithmeticae
puesto que el tiempo que el alumno dedica a esta tarea se [4]. Como introduccion a la criptografa y los criptosiste-
reparte en una proporcion de 1 a 3 entre el IES y la Univer- mas de sustitucion consulto los libros [1], [5] y [3], ademas
sidad. Es sorprendente como la busqueda de informacion, del libro de divulgacion [6].
el encontrar y entender nuevos programas informaticos o Por su parte, en la realizacion del segundo proyecto de
el plasmar toda esa informacion en un trabajo final, ayuda investigacion que verso sobre los fundamentos tanto tecni-
a los estudiantes a desarrollar sus habilidades de investi- cos como matematicos de la maquina Enigma, la alumna
gacion. tuvo que afianzar conceptos matematicos relacionados con
En el proyecto de investigacion Aritmetica modular y la Teora de la Combinatoria. Asimismo, realizo una im-
cifrados por sustitucion se trataba de estudiar alguna de portante labor de documentacion y busqueda bibliografica
las aplicaciones que la Aritmetica modular tiene en Crip- que completo con una visita a las instalaciones de Blet-
tografa, en particular en los sistemas de cifrado por susti- chley Park. Ademas dio la casualidad de que durante
tucion. Ademas, se propuso la utilizacion de algun lengua- la realizacion del trabajo de investigacion se estreno la
je de programacion o software matematico que permitiera pelcula The Imitation Game (en Espana, Descifrando
realizar cifrados basados en aritmetica modular. A la ma- Enigma) sobre el papel que jugo Alan Turing en el crip-
yora de estudiantes (y publico en general) les sorprende toanalisis de la maquina Enigma. Este hecho acrecento el
ver en la naturaleza y en la vida diaria las aplicaciones interes y motivacion de la alumna y de sus companeros -
de las Matematicas. En este caso, el alumno detallo varias como se pudo ver reflejado en la exposicion final que hizo-.
aplicaciones de la Aritmetica modular, tambien conocida Como parte final de estos trabajos de investigacion,
192
4
los alumnos expusieron ante un tribunal formado por el rama de Ciencia y Tecnologa. En este caso, el centro uni-
profesor-tutor del departamento universitario, el coordi- versitario de referencia es la Escuela Politecnica Superior
nador del BIE en el IES y otro profesor del departamento de Zamora, cuyas instalaciones estan a escasos metros del
correspondiente del IES (en nuestro caso, el departamento IES mencionado. Durante este curso, los profesores encar-
de Matematicas). Los dos trabajos de investigacion fueron gados de poner en marcha este Bachillerato nos solicitan
calificados con la maxima nota posible (de manera que la una relacion de actividades que se puedan llevar a cabo a
calificacion obtenida en la defensa del proyecto les supuso lo largo del curso academico. Contando con la experien-
el 30 % de la calificacion total que se le asigna al proyecto). cia del curso anterior en el IES Vaguada de la Palma,
Con posterioridad a la defensa de los proyectos de inves- proponemos una serie de charlas que tienen que ver con la
tigacion, los alumnos tuvieron la oportunidad de asistir a historia de la criptografa y con la descripcion de algunos
la XIX Reunion Cientfica Alcuescar 2015 que se celebro en protocolos criptograficos. Todas las actividades se han lle-
Alcuescar (Caceres) entre los das 5 y 6 de marzo de 2015. vado a cabo en las instalaciones de la Escuela Politecnica
Este congreso fue organizado por la Asociacion de Investi- de Zamora. Una vez elaborada la lista de actividades, con
gacion de Secundaria con el objetivo de fomentar la inves- la participacion de otros departamentos de la Escuela, los
tigacion en los adolescentes y a la que asistieron casi 300 alumnos y profesores del IES Claudio Moyano eligen las
alumnos de veinticinco institutos de Caceres, Salamanca, actividades que les parecen mas apropiadas. Ademas, da-
Barcelona, Badajoz y Canada. do que hay alumnos de Ciencias y alumnos de Tecnologa,
En este congreso, los alumnos tuvieron la oportunidad las actividades pueden ser dirigidas a todo el grupo o bien
de presentar sus proyectos de investigacion en formato ser especficas para los alumnos de cada especialidad. Con
poster (vease la Fig. 5) y debatirlos con el resto de par- estas normas, las dos charlas propuestas fueron elegidas
ticipantes. Creemos que fue un magnfico colofon a todas para ser impartidas al curso completo de 20 alumnos. La
las actividades realizadas dentro del BIE y sin duda un estructura de las actividades realizadas es siempre la mis-
acicate para proximas ediciones. ma. Los das anteriores a la actividad presencial prevista,
la plataforma MOODLE del IES Claudio Moyano cuel-
ga las presentaciones power-point que se van a realizar.
Finalizada la actividad presencial, en la misma platafor-
ma se cuelgan las hojas de ejercicios propuestos para que
los alumnos que lo deseen tengan trabajo adicional que
efectuar.
La primera de las charlas se titulaba Viaje a traves
de la Criptografa y en ella se resumieron los principales
metodos de cifrado a lo largo de la historia, que se ilustra-
ron con numerosos ejemplos. Se hizo una especial mencion
a los metodos modernos (vease Fig. 6). En la charla tam-
bien se abordaron las actuaciones necesarias para garan-
tizar la autenticidad, confidencialidad e integridad de la
informacion transmitida por canales inseguros (vease Fig.
7).
La segunda de las charlas se titulaba Protocolos Crip-
tograficos y en ella se expusieron algunos de los proto-
colos criptograficos que usan el criptosistema RSA como
base. Los alumnos conocieron algunas de las aplicaciones
del criptosistema RSA que haba sido introducido con de-
talle al inicio de la charla. Las preguntas del coloquio final
revelaron la creciente curiosidad de los estudiantes por to-
dos los temas expuestos.
Los siguientes enunciados se corresponden con algunos
de los problemas proporcionados como materiales de tra-
bajo adicionales:
1. Codifica mediante el cifrado de Playfair el mensaje:
These songs are wonderful,
utilizando como clave la palabra HAND.
Fig. 5. Poster presentado en Alcuescar 2015.
2. Busca el texto claro del mensaje que aparece en la obra
de Allan Poe El escarabajo de oro.
3. Utilizando el alfabeto internacional de 26 letras y asig-
IV. Curso 201415, IES Claudio Moyano:
nando su valor a cada una de ellas, de modo que
Extendiendo la experiencia
A 0,
Durante el curso 20142015 se une a la implantacion del B 1,
BIE el IES Claudio Moyano de Zamora tambien en la ...,
193
5
Bachillerato de Investigacion/Excelencia que se imparta

en el IES Vaguada de la Palma de la ciudad de Sala-
manca y esa colaboracion la ampliamos el curso siguiente
a Zamora, al IES Claudio Moyano. Con nuestra parti-
cipacion en el BIE iniciamos a estudiantes de bachillerato
en actividades asociadas a la investigacion en Criptografa
y Seguridad de la Informacion, potenciando, tal como se
establece en la metodologa que define el BIE [2], la utili-
zacion de las tecnologas de la informacion y la comunica-
cion.
Las experiencias realizadas en ambos centros han sido
seguidas por parte de los alumnos con gran interes. Los
proyectos de investigacion han sido realizados con exito
en el IES Vaguada de la Palma y esperamos que suceda
Fig. 6. Diapositiva de los comienzos de la Criptografa moderna. lo mismo en el IES Claudio Moyano.
Hay que destacar que estas actividades no solo han per-
mitido dar a conocer a los alumnos involucrados los funda-
mentos tanto de la Criptografa como de algunos aspectos
basicos de la Seguridad de la Informacion, sino que tam-
bien les ha permitido conocer de primera mano algunas
aplicaciones de tecnicas matematicas conocidas por ellos.
Es interesante seguir con la lnea de colaboracion abier-
ta con los centros que desarrollan este nuevo Bachillera-
to puesto que nos permite acercar estas ideas al ambi-
to no universitario. Sera conveniente profundizar mas en
la lnea iniciada, quiza desarrollando actividades comple-
mentarias en otros centros no universitarios, siempre que
la normativa vigente lo permita.
Puesto que los profesores que participamos en estas ac-
tividades desarrollamos nuestra labor de investigacion en
diversos temas de Criptografa, Seguridad de la Informa-
Fig. 7. Caractersticas de los sistemas criptograficos actuales.
cion y aplicaciones de Matematicas, resulta muy gratifi-
cante poder compartirlos con estudiantes no universita-
Z 25, rios, que forman parte de este Bachillerato de Investiga-
se define un cifrado afn por la expresion cion/Excelencia de forma voluntaria.
C(m) = 3m + 7(mod 26),
Agradecimientos
siendo m la letra a cifrar. Encriptar el mensaje
ESTE CRIPTOSISTEMA NO ES SEGURO Este trabajo ha sido subvencionado por el Ministerio
4. Programa el algoritmo de Euclides de Economa y Competitividad (Espana) y por los fondos
Entrada: a b (con a>b>0) europeos FEDER con el proyecto TIN2014-55325-C2-2-R.
Salida: mcd(a,b)
Referencias
La respuesta de los alumnos ha sido entusiasta. Al fina-
[1] P. Caballero Gil. Introduccion a la Criptografa. Ra-ma, 2002.
lizar cada una de las charlas hubo un animado coloquio [2] C. de Educacion. ORDEN EDU/551/2012, de 9 de julio, por la
que continuo a traves del correo electronico. Ademas, un que se regula la implantacion y el desarrollo del Bachillerato de
porcentaje significativo realizo casi correctamente todas Investigacion/Excelencia en la Comunidad de Castilla y Leon.
Boletn oficial de Castilla y Leon, (127), 2012.
las cuestiones propuestas como trabajo adicional. Final- [3] A. Fuster Sabater, L. Hernandez Encinas, F. Montoya Vitini, J.
mente, en Mayo de 2015 presentamos dos proyectos para Munoz Masque, A. Martn Munoz, Criptografa, proteccion de
ser realizados por los alumnos de forma individualizada datos y aplicaciones, RA-MA, Madrid, 2012
[4] C.F. Gauss, Disquisitiones arithmeticae por Carl Friedrich Gauss
durante el primer cuatrimestre del curso 2015-2016. Am- (traduccion al espanol hecha por Hugo Barrantes Campos, Mi-
bos proyectos fueron elegidos por los alumnos: Estudio chael Josephy, Angel Zuniga). Academia Colombiana de Ciencias
grafico de los automatas de Wolfram e Implementacion Exactas, Fsicas y Naturales, 1995.
de algunos algoritmos matematicos que se usan en Crip- [5] M. Lucena Lopez, Criptografa y Seguridad en Computadoras.
Version 0.6. 2) Universidad de Jaen, 2005.
tografa. En la actualidad los alumnos han comenzado a [6] M. Maneru, El Enigma de los Codigos Secretos. Libsa, 2008.
trabajar en ambos proyectos. [7] A.J. Menezes, P.C. Van Oorschot, and S.A. Vanstone, Handbook
of applied cryptography. CRC press, 1996.
V. Conclusiones y trabajo futuro
Durante el curso academico 20132014 varios profesores
del Departamento de Matematica Aplicada de la Univer-
sidad de Salamanca comenzamos la colaboracion con el
194
Graduate Studies in Cyber-security

A proposal
Juan F. Garca, Javier Alonso, Miguel V. Carriegos

Research Institute of Applied Sciences in Cybersecurity
University of Len
Len, Spain
{jfgars, javier.alonso, miguel.carriegos}@unileon.es
AbstractThis paper summarizes an official Master program to choose the modality that suits them better. We will follow
studies in Cybersecurity. Some milestones as online formats are previous experiences in our School of Engineering of Masters
pointed out as well as a concrete list of capabilities or skills is degrees in Industrial Engineering within this dual format, and
provided and developed in a two-year syllabus. will use online technologies like Moodle or AVIP (Audio y Voz
por IP, a tool developed by Spanish UNED, Universidad de
KeywordsMaster studies, Cyber-Security, dual on line courses Educacin a Distancia).
I. INTRODUCTION The impact of globalization and internationalization is an

important integrating theme consequently we pay attention to
As the demand for skill on cyber-security professionals is the concrete experiences and studies in the field [2]. For this
growing, computer, network professionals and in general active same reason, the Master is taught fully in English (this is the
professionals now can turn to online, in-demand Masters. This last difference with the Master program predecessor), which
Master's studies can (and should) be focused in training should make it more accessible and interesting for student
interested engineers, scientists and even lawyers and another around the world.
professionals to acquire a solid foundation in key technologies
computer and network security, digital forensics, Choosing English as the Master language also allows for
cryptography, and biometrics as well as capability to perform participation of internationally recognized cybersecurity
initial research studies in the field. The formula Operations + researchers from other Universities like Washington, Arizona
Research should be mandatory. or Duke, to name a few, which will collaborate in the teaching
of some topics and subjects.
With industry continuing to place top priority on
safeguarding its data and information systems,, it becomes Technological change is fundamental to the development of
necessary well-prepared professionals for careers in developing education systems therefore we focus on a careful selection of
security products, as security-application programmers, curriculum, pedagogy and didactic aspects covering relevant
security analysts, penetration testers, vulnerability analysts and aspects from more classical engineering courses to more
security architects as well as researchers. contemporary courses. The goal is to obtain professionals and
future researchers that are transversal and somewhat plastic in
This paper describes a proposal which will be implemented their capabilities or skills.
at the University of Len (Spain) in 2016 jointly with INCIBE
[1]. The proposal focus on an integrated two year post-graduate
II. TEACHING
studies. The objective is to prepare professionals in cyber-
security in the broader sense from concrete software Online modality is implemented in two ways: all regular
engineering to networks and social responsibility or legal in-class teaching is recorder and Live streamed using AVIP
issues. This long term official Master studies will include both technology previously mentioned. This tool allows student to
a research mention capabilities and a specific Practicum. attend the class from remote locations while letting them
Graduate Master Students will be ready both to start as participate (the tool allows real time iteration with the teacher
professionals and to begin a Ph. D. degree in Cyber-security and the rest of students, no matter they are also online students
This Master program is an official master (approved by or regular student physically in the classroom). On top of that,
ANECA), and has its precedent studies as a Professional the recorded class session is uploaded to the Moodle, making
Master Degree in Computer Security (2007-2009) and then a it available for delayed viewing for both regular and online
Professional Master Degree in Cyber-Security (2009-2015). students.
These programs included neither a specific Practicum nor a
Research Mention: this has been shown as a gap that the two AVIP tool is described as a virtual presentiality tool for
year program is designed to fulfill. their own creators and is an attempt to reduce some of the
disadvantages of online studies: student solitude and lack of
Another relevant difference with previous studies is its
online modality: The studies are programmed to be performed iteration with others. Making the contents available to be
both as an on-line course and traditional, allowing the students viewed later greatly increases flexibility.
195
On top of that, teachers correspond with students through IV. GRADUATED SKILLS (COMPETENCIAS)
e-mail, chat rooms or whatever prompt reply media, therefore. In order to perform a complete report of the skills of a
Teachers are able to address different learning styles by Master graduate student, concrete Competencias or capabilities
incorporating technology, written work and other group or skills are listed in the documentation of the Master title.
assignments into coursework. They don't need any in-person Competencias are collected in:
contact with their students because all discussions and
assignments are distributed online. Moreover for the standard 1. Basic skills: To elaborate and to report solutions to
attendees this becomes a bonus because a standard student concrete problems in computer security and communications;
to collect relevant data and report relevant information from
could often choose to attend the course online.
data; to deploy coherent ethic, social or scientific statements or
reports from the perspective of cyber-security; to develop
Online courses are becoming a popular substitute to cybersecurity solutions to the industrial environment; to learn
traditional courses, since it's a more convenient way for busy in an autonomous way; to develop projects in computer
professionals to advance their education. It should be security and communications.
remarked here that previous editions of Master in Cyber-
security have been performed both in regular format (from 2. Specific skills related to cyber-security: Management of
Monday to Thursday) and in the so-called executive format operating systems; networks and services; to program and to
(Friday and Saturday). Both formats have their own audience analyze; design secure software; understand and apply
and these two kind of students (regular students in the former cryptographic protocols; understand basic applied mathematics
to cybersecurity; applied biometry; detect, analyze and prevent
format and professionals in the latter) have shown different
threads; deployment of a secure network system; basics of
calendar requirements. The dual format proposed here (both
security management; analyze and develop a secure web
online and at classroom) is intended to fulfill these non- system; Spanish laws related to cybersecurity; fundamentals of
matching requirements. a CERT; security guidelines in financial and business centers;
basics of complex robust systems; development of secure
In addition to the basic requirements for teaching at the applications in several operating systems; to prevent cyber
postsecondary level, teachers and instructors need a fraud; fundamentals of physical security; main forensic
comprehensive knowledge of Internet resources and how to techniques; detection and classification of malware; Spanish
use them. Teachers must incorporate engaging, active learning cybersecurity plan/agenda; basics of cybercrime and cyber
into their lesson plans and course material. There are defense; basics of social engineering and psychology;
educational programs offered by the University of Len which cybersecurity in mobile technology; basics of scientific
include certificates in technology-based learning for research; industrial/intellectual rights and property; innovation
specialization in online teaching. Some skills that these as the implementation of concrete industrial solutions from
courses or programs emphasize for teachers can include research and development results; design of secure networks
student group work, online assessment, copyrighted material, and operating systems; secure system administration; software
Internet resources and course mapping. and malware analysis; exploiting techniques; social
responsibility of cyber-security professionals, corporations and
Teachers should also be open to feedback from their public agencies.
students. The Office of Evaluation and Quality form This is a summary of the most relevant capabilities
University of Len manages polls for students to find out belonging to compulsory subjects, meaning all student will
which activities, assignments or projects were most effective acquire them. Elective content have its capabilities also, but
for learning. they are not included here for simplicity reasons.
III. STUDENTS The final and official master verification report containing
Previous editions of Master had enrolled about 25 students all relevant information regarding this and other topics, with a
each. Their grade formation was mainly related with detailed and complete capabilities list, will be publically
available at http://seguimiento.calidad.unileon.es after ANECA
Computer Engineering degrees, often graduates in
final resolution.
Mathematics and rarely Electrical/Electronic Engineers,
graduates in Physics and lawyers or graduates in Economics.
To allow for a more heterogeneous audience, we have V. THE SYLLABUS
granted access to the Mater to any graduated student, no In order to grant above skills for graduate students, the
matter their field of knowledge. However, some formation following list of matters has been gathered. It is worth to note
complements to be coursed by students without formation in here that the deign focus on the homogeneous work
Computer or Telecommunications Engineering are proposed: requirements at any matter (6 European Transfer Credit System
Networks, Operating Systems and Software Engineering. All ECTS) and that theoretical work is programmed to be
these formation complements must be acquired before performed mainly in the first year saving the second for
enrolling in the Master. practicum, research topics and Master Thesis. The Formation
complements, only for students without formation in Computer
or Telecommunications Engineering and to be acquired before
196
enrolling in the Master, are also included here for completeness (with purely online content) is proposed for the student to
reasons. choose from.
Semester and Subject ECTS Master Thesis aims at putting into practice the knowledge
and skills acquired in the master's program by students through
Formation Complements the development of a research project within a research center
[for no IT/Telecom graduates] or a company with a high level of R+D+i. The Master thesis
development may take place in any of the collaborating entities
Programming 3 and is evaluated by a university court (which also requires
Operating Systems 3 physical presence of the student).
Communication Networks 3 Evaluation of students is performed online through Moodle

and with a final physical exam. These applies to students of
First Semester both modalities, as imposed by internal University of Len
regulation.
Cybersecurity and Cybercrime Foundations 6
The student is required to complete at least 120ECTS in
Mathematics for Cybersecurity I - Cryptography 6 order to get his/her diploma.
Human Aspects and Legal Implications of 6
Cybersecurity ACKNOWLEDGMENT
Secure Design and Programming 6 This work was partially supported by INCIBE according to
rule 19 of the Digital Confidence Plan (Digital Agency of
Security of Cyber-physical Systems I 6 Spain) and the University of Len under contract X43.
Second Semester
Mobile and Distributed Ecosystems 6 REFERENCES
Trustworthy Systems I 6
[1] INCIBE, Instituto Nacional de Ciberseguidad, https://www.incibe.es
Systems Auditing and Forensics I 6
[2] A. Rovai, The Internet and Higher Education Elsevier, 2009.
Software Analysis I 6 [3] M.E. Cano Garca, La evaluacin por competencias en la educacin
superior, Profesorado, Revista de curriculum y formacin del
Intrusion, Detection, Management and Prevention of 6 profesorado, 12(3), 2008.
cyber-attacks [4] E. Martn, A. Moreno, Competencia para aprender a aprender, Alianza
ed. 2007.
Third Semester
Research Science 6
24 ECTS to be chosen from [Elective]:
- Practicum (practical experience) 18
- Elective I 6
- Elective II 6
- Elective III 6
- Elective IV 6
Fourth Semester
Master Thesis 30
Elective matters will be proposed yearly and it is planned to

be specific matters of recent advances in the field, current
trends and emerging threads in cyber-security, management of
information systems, second course on trustworthy systems,
software analysis, forensics and authentication technologies.
Since Practicum (practical experience), is performed in a
center or a company, it may require physical presence of the
student. Given this may be a problem for online modality
students, a big enough amount of alternative elective subjects
197
Una apuesta por la educacin en ciberseguridad

desde el mbito universitario
Andrs Caro
Dpto. Ingeniera de Sistemas Informticos y Telemticos - Universidad de Extremadura
andresc@unex.es
Resumen- En este trabajo se exponen diferentes experiencias desde el mbito universitario (particularmente desde la
realizadas en los ltimos aos desde el mbito universitario (desde la Universidad de Extremadura, UEx) relacionadas, en todo o en
Universidad de Extremadura) para fomentar la educacin en temas de parte, con la educacin en ciberseguridad.
Ciberseguridad, en el entorno universitario y fuera de l. El creciente
inters en este tipo de educacin por parte de la sociedad en general,
unido al progresivo aumento de delitos informticos, fraudes y la II. INFORMTICA FORENSE Y COLEGIOS PROFESIONALES
situacin de alarma que todo ello conlleva, estimula la participacin,
de un modo u otro, en alguna de las actividades que se han llevado a Uno de los mbitos de actuacin llevados a cabo en cuanto a
cabo durante el ltimo ao y que desde este trabajo se comparten. formacin de usuarios ha sido en conjuncin con el Colegio
Profesional de Ingenieros en Informtica de Extremadura
I. INTRODUCCIN
(CPIIEx). La informtica forense juega un papel importante y
Los equipos informticos, las redes e Internet forman parte supone una salida profesional relacionada con el campo de la
de las vidas de cada vez ms ciudadanos en el mundo. Como seguridad informtica. La figura del perito en informtica,
consecuencia de ello, el uso del trmino ciberseguridad como aquel profesional cualificado que es capaz de determinar
tambin est en auge en los ltimos aos. Por desgracia, las causas (y los efectos) que ha originado un evento o
tambin es habitual encontrar en prensa noticias relacionadas incidente en un sistema se presenta tambin como una primera
con delitos informticos que tienen su causa, aunque sea en aproximacin a temas relacionados con la ciberseguridad. En la
parte, en la falta de concienciacin de los usuarios. As, ya en actualidad, muchos expertos en ciberseguridad ejercen,
2010 aparecen algunas noticias en las que se pona de adems, como peritos en informtica.
manifiesto la falta de seguridad en el desarrollo de aplicaciones En este sentido, desde la UEx se colabor con las I
informticas [1]. Incluso en 2012 se modific el Cdigo Penal Jornadas de Peritaje Informtico, organizadas por CPIIEx y
para castigar la difusin en la red de vdeos ntimos sin permiso que se desarrollaron en la propia Universidad en el ao 2007.
[2]. Tambin aparecen en prensa otros pases de nuestro Indicar que CPIIEx se crea en el mismo ao 2007, y sus
entorno, como por ejemplo Francia, con noticias relacionadas primeras directivas (hasta el ao 2014) estaban formadas por
con el castigo a personas por las descargas que otros realicen profesores universitarios principalmente. De ah que
desde su red [3]. En nuestro pas, no hace mucho que Universidad y Colegio Profesional se integrasen en un mismo
aparecieron noticias sobre la detencin de personas por foro formativo, siendo muy fluida la colaboracin entre ambas
piratear la WiFi del vecino [4]. Las suplantaciones y instituciones, as como el intercambio de ideas y experiencias.
usurpaciones de identidad en las redes sociales, por desgracia, Esto favoreci especialmente a los estudiantes universitarios,
tambin estn a la orden del da desde hace unos aos que tenan informacin y formacin de primera mano en estos
[5][6][7]. aspectos, tan novedosos en aquella poca.
Las Fuerzas y Cuerpos de Seguridad del Estado se han As, tambin se colabor en las siguientes ediciones de estos
adaptado a este tipo de delitos tecnolgicos, e incluso disponen cursos de peritaje en los aos 2008, en las II Jornadas de
de personal especializado para combatirlos. A modo de Peritaje Informtico - Conceptos y ejemplos prcticos de
ejemplo, en la pgina web del Cuerpo Nacional de Polica peritajes informticos y 2009 III Jornadas de Peritaje
(http://www.policia.es) puede consultarse la catalogacin de Informtico - La experiencia en el peritaje informtico. Varios
delitos informticos que hace la Brigada de Investigacin profesores universitarios participan en el Comit Organizador
Tecnolgica. de estas jornadas. Estos cursos estaban destinados a colegiados,
Por todo ello, la educacin en ciberseguridad, la difusin de y tambin a profesionales y estudiantes de las titulaciones de
contenidos y la concienciacin en este tipo de materias, informtica en general. Es importante comentar que esta
dirigida hacia todo tipo de usuarios, se presenta como un reto experiencia de formacin supuso un importante impulso en la
ciertamente apasionante. Como se comentaba anteriormente, figura del perito en informtica en la Comunidad Autnoma de
cada vez son ms los ciudadanos que disponen de ordenadores, Extremadura, donde, hasta la fecha, no se haban creado listas
porttiles, telfonos inteligentes y otros tipos de dispositivos de peritos que repartir en los juzgados de Extremadura. Por
que manejan informacin sensible y datos personales que es ende, sent las bases para que profesionales, estudiantes y
preciso gestionar de forma segura. En este trabajo se quieren profesores universitarios tuvieran un foro de debate en el que
compartir las diferentes experiencias llevadas a cabo, siempre compartir experiencias e inquietudes relacionadas con la
198
informtica forense principalmente, pero tambin con la crecimiento de colegiados a CPIIEx desde su creacin en 2007,
ciberseguridad y el hacking tico. que se encuentra estabilizada en el rango 80-85 colegiados,
En los aos sucesivos, desde CPIIEx, y siempre apoyados aproximadamente. En barras se muestran los participantes en
por la UEx, se organizaron tambin jornadas relacionadas con las distintas actividades programadas en estos aos,
la Seguridad Informtica. As, en 2011 se organizan las I distinguiendo los participantes por su titulacin. En azul se
Jornadas de Ley Orgnica de Proteccin de Datos y Seguridad muestran los titulados en Ingeniera Informtica (colegiados) y
Informtica, y en 2012 las II Jornadas de Seguridad en naranja el resto de titulados. Puede observarse un nmero
Informtica - Esquema Nacional de Seguridad y LOPD. Igual cercano a los 40 participantes en las ltimas actividades
que en las jornadas de aos anteriores, estas jornadas estn ofertadas.
enfocadas a colegiados, profesionales y estudiantes de
informtica en general, y sirvieron para consolidar aspectos III. FORMACIN EN ASIGNATURAS DE GRADO Y MSTER
fundamentales relacionados con la ciberseguridad.
En 2013, se continua con las IV Jornadas de Peritaje La reforma de los planes de estudio de Ingeniera e
Informtico - El perito informtico forense donde se presenta Ingeniera Tcnica en Informtica hacia los actuales ttulos de
un enfoque eminentemente prctico en unas sesiones Grado y Mster supone la aparicin de nuevas asignaturas y
presenciales, acompaado de las IV Jornadas de Peritaje nuevos contenidos. Ello da pie a que sea posible incluir
Informtico - Resolucin de casos prcticos, una segunda cuestiones anteriormente no consideradas en los planes
edicin no presencial que, por primera vez, presenta retos a antiguos, como la figura del auditor y perito en informtica,
resolver por parte de los participantes. Indicar que la directiva legislacin informtica, con especial sensibilidad hacia la
de CPIIEx, en todo momento, trata a los estudiantes LOPD, y aspectos como la calidad de los Sistemas
universitarios de las titulaciones de informtica en condiciones Informticos, donde la seguridad es una base incuestionable
similares a las de sus colegiados / precolegiados. El xito de para cualquier sistema que quiera presumir de calidad.
participacin de los estudiantes es grande en ambos eventos. En la Universidad de Extremadura (UEx), desde el curso
Finalmente, en 2015 se organizan las V Jornadas de Peritaje 2011/12 se imparte la asignatura Auditora, Certificacin y
Anlisis Forense de dispositivos mviles (iOS y Android) y Calidad de Sistemas Informticos", del Master de Ingeniera
se formaliza la I noche de la ingeniera en informtica de Informtica. Se trata de una asignatura obligatoria de 6 crditos
Extremadura. La figura 2 muestra la web de CPIIEx donde se ECTS donde se tratan cuestiones de seguridad informtica, as
comenta cmo se desarrollaron estas actividades. A estas como normas de certificacin en seguridad y en calidad. Se
alturas, el conocimiento en cuanto a Informtica Forense, tanto insiste en la figura del auditor de sistemas y en el desarrollo de
en el mbito universitario como fuera de l, est ms que software seguro, incluyendo pruebas de software que permitan
consolidado en Extremadura. desarrollar aplicaciones no slo correctas desde el punto de
vista funcional, sino tambin seguras.
Y desde el curso 2012/13 se imparte la asignatura Auditora
y Legislacin Informticas, asignatura obligatoria de 6
crditos ECTS, de tercer curso en los Grados de Ingeniera
Informtica (Ingeniera del Software e Ingeniera de
Computadores). En esta asignatura se presenta la figura del
perito y auditor en informtica, cuestiones de legislacin
informtica, informtica forense, seguridad informtica y
hacking tico. Las prcticas de la asignatura se centran
principalmente en retos sobre informtica forense, auditora
informtica y seguridad informtica y hacking tico. Muy a
destacar el alto ndice de aprobados que alcanza la asignatura
(sobre un 80% en primera convocatoria). Con un temario muy
atractivo y muy cercano a la realidad, la asignatura es capaz de
conseguir una alta motivacin de los estudiantes, lo que se
refleja en las encuestas oficiales y en los comentarios que de
ella hacen los propios estudiantes. Esta asignatura aparece
indexada en el Mapa de Enseanza de Seguridad de la
Figura 1. Total de colegiados en CPIIEx (en rojo) y participantes en Informacin (MESI) elaborado por la red temtica de
las actividades programadas. criptografa y seguridad de la informacin de la Universidad
Politcnica de Madrid [8].
La figura 1 muestra el nmero de participantes en cada una De nuevo, indicar que el autor de este trabajo es profesor de
de las actividades organizadas por CPIIEx y anteriormente ambas asignaturas desde que empezaron a impartirse. Desde
comentadas. En color rojo puede observarse la lnea de luego, en la Universidad de Extremadura existen otras
199
asignaturas donde se imparte temas relacionados tambin con de investigacin, enlaces webs, materiales, libros. La idea es
la ciberseguridad, aunque el autor de este trabajo no imparte fomentar la creacin de un hacklab (laboratorio de hacking) y
docencia en tales asignaturas y no puede compartir esas de un computer forensic lab (laboratorio de informtica
experiencias. forense), algo que empieza a concretarse tambin mediante la
realizacin de diversos Trabajos Fin de Grado.
IV. INICIATIVA UNIVERSITARIA DE ANLISIS FORENSE EN En poco ms de un ao, el perfil de Twitter de esta iniciativa
INFORMTICA universitaria (@InForensics_UEx) ha alcanzado un nmero
considerable de seguidores (450 en la fecha de redaccin de
Como consecuencia del entusiasmo manifestado por un gran este trabajo).
nmero alumnos de la asignatura Auditora y Legislacin
Informticas, y estimulado por el autor de este trabajo, en
marzo de 2014 se organiza el grupo universitario Iniciativa V. HCKING TICO
Universitaria de Anlisis Forense en Informtica [9]. Este Apenas dos meses despus de la creacin de la iniciativa
colectivo involucra a profesores, personal de administracin y universitaria @InForensics_UEx, el grupo se plantea el reto de
servicios (PAS) y estudiantes de la UEx, interesados en organizar alguna sesin para la Semana del Centro (de la
informtica forense, hacking tico y seguridad y auditora de Escuela Politcnica de la UEx), que se organiza cada ao a
sistemas en general. Bajo el lema aprender y compartir se mediados del mes de mayo. De este modo, en mayo de 2014,
cimenta la base de trabajo del grupo, que se organiza como una esta iniciativa universitaria organiza una sesin de Hacking
iniciativa universitaria, y no como una asociacin. Ello tico y Seguridad Informtica para la Semana de la Escuela
compromete un grupo de trabajo, gente con inquietud e inters Politcnica. Desde el punto de vista metodolgico, las sesiones
en los temas. Es la primera iniciativa en este sentido llevada a se organizan proponiendo entre los participantes la exposicin
cabo en la UEx. Destaca su carcter universitario (por y para de determinados temas, seleccionando de entre ellos los que se
universitarios, pero tambin para titulados, e incluso empresas entenda que podan tener ms inters para los alumnos
interesadas en seguir esta filosofa). En particular, se centra en asistentes a las jornadas. As, se organizan tres sesiones,
la titulacin de Informtica: ingeniera e ingeniera tcnica en relacionadas con el hacking de aplicaciones Web (SQL
informtica, grados y mster en informtica. Se pretende injection), ataques en redes locales (Man in the Middle), y
considerar las salidas profesionales relacionadas con temas de pentesting. Una de las sesiones la dirige un profesor, otra un
seguridad, informtica forense y hacking tico, dentro de la estudiante, y la tercera un tcnico del PAS. Casualmente, de
profesin informtica. Como se ha comentado, el germen de la este modo quedan reflejados los tres colectivos universitarios.
iniciativa est en los estudiantes de la asignatura Auditora y Como continuacin del trabajo realizado, en mayo de 2015
Legislacin Informticas, y aqu el objetivo no es la docencia el colectivo organiza las II sesiones de Hacking tico y
de esta asignatura, sino el antes y el despus de ella, con la idea Seguridad Informtica tambin para la Semana de la Escuela
de instaurar y consolidar un grupo de trabajo, ao tras ao. Las Politcnica. En esta ocasin se imparten sesiones relacionadas
perspectivas profesionales en este sentido son amplias, siendo con python scripting, buffer overflow, hacking de redes wifi, y
tambin conscientes de la falta de medios en Polica y Guardia hardening de sistemas. En esta ocasin, tres sesiones son
Civil en las materias relacionadas con la ciberseguridad. dirigidas por estudiantes y la cuarta por una empresa
Como consecuencias del inters, es posible organizar especializada.
formacin por parte de la propia universidad, en cuanto a Indicar que la participacin de los organizadores en estas
contenidos del mster, cursos de postgrado, cursos de sesiones se realiza de forma voluntaria y desinteresada.
especializacin y tambin en formacin por parte de CPIIEx,
donde en 2013 se cont con todos los universitarios de
VI. FORMACIN EN CURSOS DE ESPECIALIZACIN
titulaciones en informtica de la UEx, para sus cursos de
formacin, lo cual supuso un buen punto a favor. Paralelamente a todo lo anterior, durante el curso 2013/14 se
Los principios de la iniciativa son bsicos: debe existir un producen una serie de reuniones entre el director de la Escuela
compromiso, de modo que si alguien se compromete a Politcnica, el director de la Facultad de Derecho, personal de
desarrollar algn tema, debe cumplir con los objetivos; la Asociacin Nacional de Ciberseguridad y Pericia
aprender y compartir entre compaeros, como se ha Tecnolgica (ANCITE) y del Colegio de Ingenieros en
comentado, es el objetivo base; y el tiempo, que tanto Informtica de Extremadura (CPIIEx). Esas reuniones estn
preocupa, no debe ocupar demasiado, ya que se es consciente enfocadas a la creacin de una oficina de referencia en
de que se tienen otras cosas que hacer. seguridad informtica y pericia informtica. La consecuencia
La forma de trabajo es mediante un espacio virtual y correos de estas reuniones fructifica en la decisin de organizar un
electrnicos. Se pretende huir de las reuniones presenciales que curso universitario de especializacin, de forma virtual, y
tanto tiempo consumen y tan difciles son de encajar en las ofrecido por una Universidad Pblica como es la UEx, para
agendas de cada uno. Los trabajos y retos se presentan, fomentar en la sociedad en general el desarrollo del perfil de
sugieren, proponen y discuten entre iguales. Se sugieren temas perito informtico forense. El curso en s estara fundamentado
200
en dos cuestiones principales: por una parte, Derecho parte de Derecho Tecnolgico (50% Satisfactorio-Bastante +
Tecnolgico, donde se incluyen todas aquellas cuestiones 12% Muy Satisfactorio-Mucho).
novedosas en cuanto a derecho, legislacin y delitos La satisfaccin de los participantes es tan grande que anima
informticos que puedan ser de inters para los expertos en a los organizadores a gestionar una nueva edicin del mismo
seguridad informtica e informtica forense. Y, por otra parte, para 2016. Esta vez diseando un curso de mayor categora y
en Informtica Forense, donde se imparten materias relativas a envergadura, como es un Curso de Experto Universitario, con
pericia informtica, seguridad informtica, hacking tico y, por una duracin de 200 horas y un plantel de profesorado que
supuesto, informtica forense. Finalmente, el curso se perfila incluye y mejora al de la primera edicin.
como un curso de especializacin, de 150 horas, realizado de
forma virtual, denominado Derecho Tecnolgico e
Informtica Forense (DTIF) [10], y se desarrolla con bastante
xito entre los meses de febrero y mayo de 2015. Como
profesores del mismo aparecen figuras tan destacadas como,
entre otros muchos, Eloy Velasco (juez de la Audiencia
Nacional), ngel Juanes (Vicepresidente del Tribunal
Supremo), Jorge Bermdez (Fiscal de Delitos Telemticos),
por parte de la rama de Derecho, y Pedro Snchez (Conexin
Inversa) y Lorenzo Martnez (Securzame), por parte de la
rama de Informtica.
La figura 2 muestra las titulaciones de los participantes que
realizaron este curso de especializacin. Puede observarse que INFORMTICA DERECHO
2/3 de los alumnos de esto curso procedan de titulaciones de
Informtica, mientras que 1/4 de los mismos perteneca al
mundo del Derecho. Un 9% proceda de titulaciones variadas,
cercanas relativamente a uno u otro de las titulaciones bsicas
del curso (Derecho e Informtica). Figura 3. Grado de satisfaccin de los participantes que finalizaron
el curso, agrupados en la temtica de Informtica Forense y en la de
Derecho Tecnolgico.
El principal valor de estas propuestas formativas, y que las

diferencian notablemente del resto de ofertas, radica en que el
curso conjuga temas de Derecho Tecnolgico y de Informtica
Forense con total naturalidad, ofreciendo una perspectiva clara
y factible para los profesionales de una y otra titulacin,
condenados a entenderse en cada vez ms situaciones de la
vida real. En [10] pueden consultarse ms detalles acerca de
contenidos, metodologas, evaluacin, profesorado
VII. CTEDRA SOBRE SEGURIDAD Y AUDITORA DE SISTEMAS

Como consecuencia de la colaboracin entre la Universidad
de Extremadura y diversas empresas del sector de la
Figura 2. Titulaciones de procedencia de los participantes en el Informtica en el mster de Ingeniera Informtica, el 27 de
curso Derecho Tecnolgico e Informtica Forense. abril de 2015 se firma el convenio por el que se crea la Ctedra
de patrocinio INSA-UEx sobre Seguridad y Auditora de
El curso es finalizado de forma satisfactoria por participantes Sistemas Software [11].
de toda Espaa as como de Iberoamrica, como puede La firma de esta Ctedra de patrocinio implica que se pone
apreciarse en la figura 3. En ella se resume parte de la encuesta de manifiesto, una vez ms, la importancia que los temas en
de satisfaccin que, voluntaria y annimamente, rellenaron ciberseguridad estn alcanzando en los ltimos aos, no solo a
aquellos participantes que consiguieron culminar con xito el particulares, sino tambin a grandes empresas del sector como
curso. Cuantitativamente, puede observarse cmo un 61% de puede ser INSA, filial de IBM Espaa.
los estudiantes muestran un grado alto de satisfaccin con la El objetivo de la ctedra es poder avanzar en la mejora de
parte de Informtica Forense (43% Satisfactorio-Bastante + todos los aspectos relacionados con la Seguridad del Software.
18% Muy Satisfactorio-Mucho). Del mismo modo, un 62% de A travs de ella se realizarn actividades de investigacin,
ellos muestran tambin un alto grado de satisfaccin con la desarrollo y transferencia de tecnologa, particularmente sobre
201
investigacin de modelos de desarrollo de Software Seguro, exportable a otras universidades y comunidades de un

seleccionando las prcticas ms adecuadas para mejorar los tamao similar al que aqu se presenta.
modelos actuales. Tambin se trabajar en el
perfeccionamiento de los modelos actuales de Pruebas de
Seguridad, para aumentar sus prestaciones y eficiencia.
A travs de la Ctedra, se pondrn a disposicin de la
sociedad en general las novedades en la dimensin de
Seguridad del Software, actuando como un Observatorio de la
Seguridad y organizando actividades de formacin y
divulgacin en el mbito de la ciberseguridad.
Desde luego, la apuesta de una gran empresa por el
patrocinio de una Ctedra relacionada con la ciberseguridad da
pruebas de la necesidad de inversin en investigacin
relacionada con estos temas, y tambin de la confianza en el
sector universitario como fuente de desarrollo de estos trabajos.
Finalmente, indicar que est previsto que los trabajos de esta
Ctedra se financien durante, al menos, tres aos, y culminen
con la lectura de una tesis doctoral en temas de ciberseguridad
por parte de un estudiante de doctorado de la UEx.
Figura 4. Actuaciones universitarias en ciberseguridad en
Extremadura.
VIII. RESULTADOS Y CONCLUSIONES
Los resultados de todas las experiencias que se han querido
compartir mediante este trabajo se resumen a continuacin. AGRADECIMIENTOS
Bsicamente, el Colegio Profesional de Ingenieros en Un agradecimiento especial a todas las personas que han
Informtica de Extremadura (CPIIEx), en conjuncin con la colaborado, desinteresadamente, en la realizacin de las
Universidad de Extremadura, ha venido ofreciendo formacin actividades desarrolladas en estos ltimos aos, especialmente
en temas relacionados con peritaje, informtica forense, a los estudiantes que han conseguido encontrar tiempo libre
seguridad y legislacin en los aos 2007, 2008, 2009, 2011, entre sus muchas ocupaciones para sacar adelante algunas de
2012, 2013 y 2015. las acciones realizadas.
En cuanto a formacin universitaria, las asignaturas de grado
(ALI Auditora y Legislacin Informticas) y mster (ACCSI
REFERENCIAS
Auditora, Certificacin y Calidad de Sistemas Informticos)
comentadas anteriormente se han venido desarrollando desde
[1] Crdoba, 22-06-2010
los cursos 2012/13 y 2011/12 hasta la actualidad, http://elpais.com/elpais/2010/06/22/actualidad/1277194631_850215.html
respectivamente. [2] Madrid, 11-10-2012
El grupo de Iniciativa Universitaria de Anlisis Forense en http://politica.elpais.com/politica/2012/10/11/actualidad/1349953208_19
9770.html
Informtica ha venido desarrollando actividades de hacking [3] Francia, 20-08-2010
tico y seguridad en los aos 2014 y 2015. http://elpais.com/diario/2010/08/20/sociedad/1282255201_850215.html
Por ltimo, se ha desarrollado formacin con el formato de [4] Madrid, 26-11-2013
http://www.elmundo.es/madrid/2013/11/25/5293b89463fd3d7c458b457b
curso de especializacin en una primera edicin en 2015, que .html
tendr continuidad en aos venideros, y se ha firmado una [5] Granada, 14-04-2009
Ctedra de patrocinio sobre Seguridad y Auditora de Sistemas http://www.delitosinformaticos.com/04/2009/delitos/usurpacion-de-la-
identidad-en-internet-para-insultar-y-ofrecer-favores-sexuales
tambin en 2015, con previsin para tres aos. [6] Segovia, 2-06-2011
Los resultados, mostrados por anualidades, se reflejan en la http://www.delitosinformaticos.com/06/2011/noticias/condenadas-dos-
figura 4. Segn esta figura, puede observarse cmo las adolescentes-por-suplantar-a-una-companera-y-crear-un-peril-faso-en-la-
red-social-tuenti
actuaciones universitarias en materia de ciberseguridad en la [7] Cceres, 29-10-2012
Comunidad Autnoma de Extremadura se acumulan, http://www.hoy.es/20121029/local/caceres/detenida-joven-suplantar-
principalmente, en los ltimos 3-4 aos, siendo muy destacable identidad-201210291332.html
[8] Mapa de Enseanza de Seguridad de la Informacin (proyecto MESI)
cmo en 2015 se ha doblado el nmero de actuaciones http://www.criptored.upm.es/mesi/mesi2/mesi2ES.html
realizadas conforme al ao anterior. [9] Iniciativa Universitaria de Anlisis Forense en Informtica
Como conclusin, queda mucho trabajo por hacer, pero es https://inforensicsuex.wordpress.com/
[10] Derecho Tecnolgico e Informtica Forense
evidente que en los ltimos aos se ha ido consolidando una http://dtif.unex.es/
base sobre la que poder crecer, para poder seguir aprendiendo y [11] Ctedra INSA-UEx sobre Seguridad y Auditora de Sistemas Software
compartiendo con toda la sociedad. El modelo puede ser http://escuelapolitecnicacc.blogspot.com.es/p/catedra-insa.html
202
Una propuesta para la enseanza de la Ciberseguridad

en el Grado de Ingeniera Informtica
Jos Antonio Gmez Hernndez
Departamento de Lenguajes y Sistemas Informticos - Universidad de Granada
jagomez@ugr.es
Resumen- La Ciberseguridad es un bien a proteger dado su ponencia plantea la enseanza de la seguridad como una
impacto poltico, socio-econmico y personal. Como la misma competencia transversal de forma que todos los alumnos la cursen
descansa en la construccin y uso seguro de sistemas informticos, y se integre fcilmente en los planes de estudios. Uno de los puntos
nuestros graduados deberan adquirir unos conocimientos bsicos ms conflictivo sera establecer un equilibrio entre los contenidos
para abordar su trabajo profesional con la responsabilidad propios de una materia y su uso de forma segura.
necesaria y bajo los estndares reconocidos. Esta
Reino Unido [10]. Debemos resaltar que un 95% de estos
delitos [9] quedan impunes por diferentes causas: no son
I. INTRODUCCIN denunciados, o encuentran problemas tecnolgicos y/o legales.
La Ciberseguridad es un bien a proteger dado su impacto a Como podemos ver, el incremento y volumen del
nivel poltico, social, econmico tanto a nivel de estados u cibercrimen son lo suficientemente graves como para no
organizaciones como individual. Gran parte de nuestro mundo abordar el problema con rapidez y contundencia. En especial,
descansa en el uso de multitud de sistemas informticos sobre si deseamos consolidar el uso de las Nuevas Tecnologa por la
los que realizamos una amplia variedad de actividades mayora de la poblacin. Como se indica en [5], solo un 53%
cotidianas, especialmente en pases desarrollados de los usuarios de Internet declaran que compran bienes o
tecnolgicamente. servicios online, un 48% realiza operaciones bancarias en
Vamos a comentar algunas cifras para establecer una lnea, y el 20% vende bienes o servicios. Este aspecto tambin
estimacin de la magnitud del problema al que nos esta reconocido por su importancia en la Estrategia de
enfrentamos al usar esos sistemas. En [15] para 2014 se estima Ciberseguridad Nacional [18].
el coste del cibercrimen en 400.000 millones de dolares, lo que La estructura de la ponencia aborda en el Apartado II cmo
supone entre un 15% y un 20% del dinero que se mueve en ha quedado la enseanza de la Seguridad en los Grados de
Internet. Las principales causas de estas brutales perdidas Ingeniera Informtica en Espaa y, especialmente, en la
provienen segn las empresas encuestadas en [14] de: el 68,32 Universidad de Granada. En el Apartado III, se presenta y
% debido a phishing, un 66,48% a malware, el 50.14% por justifica una propuesta de mejora para solucionar algunos
intentos de hacking, un 43,54% por ingeniera social, un problemas. Adems, se vern algunos ejemplos concretos de
43,89% por perdida de dispositivos mviles, 25,28% de los asignaturas afectadas por la propuesta. Para terminar con un
trabajadores (insiders), 21,88% de Inyeccin SQL, etc. resumen de la propuesta realiza en la ponencia.
Pero no solo hay que tener en consideracin los aspectos II. CONSIDERACIONES GENERALES
econmico, sino tambin los problemas sociales y personales a
que dan lugar. Por ejemplo, va en aumento delitos como el El BOE 187/2009 [2] establece las recomendaciones para la
ciberacoso o el sexting, que afectan especialmente a nuestros solicitud de ttulos de Ingeniera Informtica, y ms
jvenes. En parte, la forma de evitar dicho tipo de ciber- concretamente, el Apartado 3 del Anexo I enumera las
crmenes pasa por una educacin en seguridad de los usuarios, competencias que todos los estudiantes deben adquirir. Una de
y la construccin de sistemas-herramientas destinados a ellas establece necesaria la Capacidad para disear,
detectarlos y si es posible evitarlos, como el bloqueo de tuits desarrollar, evaluar y asegurar la accesibilidad, ergonoma,
violentos [7]. Sin dejar de mencionar aspectos estratgicos usabilidad y seguridad de los sistemas, servicios y aplicaciones
relacionados con ataques a infraestructuras crticas, o que informticas, as como de la informacin que gestionan.
afectan a la privacidad como las brechas de datos (ltimamente Volviendo a aparecer el trmino seguridad tanto en las
crecientes en nmero y volumen, por ejemplo, en Estados competencias en mdulo de rama como en los de
Unidos crecieron un 27,5 % en 2014 respecto a 2013) [13]. especializacin. En una lnea similar, la versin de 2013 del
En Espaa, este fenmeno tambin es creciente tal como Curriculum de Informtica de la ACM/IEEE incluye el rea de
podemos ver el primer informe sobre Cibercriminalidad conocimiento Garanta de la Informacin y Seguridad [1] .
presentado por el Ministerio del Interior [16]. Adems, hay que Para la adquisicin de competencias relacionadas con la
resaltar que el nmero de ataques sufridos por Espaa en 2014 Ciberseguridad, en muchos planes de estudios se ha optado por
fue de 70.000 lo que nos posiciona en tercer lugar tras EEUU y incluir cierto nmero de asignaturas dedicadas al tema, tal
203
como se puede ver en el magnifico trabajo de Rami [20] a III. PROPUESTA DE MEJORA
travs del proyecto MESI. La propuesta presentada se destina, como comentbamos en
Si bien la situacin de la enseanza de la Seguridad ha los prrafos anteriores, a que todos nuestros estudiantes
mejorado respecto de los planes de estudios anteriores, es alcancen unas conocimientos bsicos de seguridad necesarios
actualmente a todas luces insuficiente, mxime cuando en para construir/usar sistemas software seguros tal como
algunos casos estas asignaturas son bien optativas, bien demanda la sociedad.
troncales pero solo se cursan en alguna mencin concreta y, por Esta propuesta trata de alcanzar este objetivo sin necesidad
tanto, no son cursadas por todos los alumnos del ttulo. de hacer una reforma del plan de estudios que requiera incluir
Algunas propuestas [19] abalan la creacin de una titulacin nuevas asignaturas. Reforma que sera costosa, compleja y
propia en seguridad para la formacin de profesionales en esta tardara en poder aplicarse dado la tramitacin burocrtica de
materia. Si bien esta propuesta es muy interesante solo cubrira los ttulos. Adems esta propuesta no es incompatible, al
una parte del problema. La seguridad informtica no es solo contrario complementaria, de la situacin actual donde hay
cuestin de profesionales de la seguridad, es algo que nos asignaturas especficas de seguridad tanto en la troncalidad
afecta a todos los que usamos y/o construimos software. Por como en las diferentes menciones, ni con la implantacin de un
tanto, hay que buscar una solucin que permita que nuestros ttulo propio en seguridad.
alumnos conocer los principales problemas relacionados con la Se trata de plantear una serie de competencias bsicas de
seguridad y cuales son sus soluciones. seguridad como competencias transversales de forma que se
En el caso concreto del Grado en Ingeniera Informtica de enseen en asignaturas ya existentes (en lugar de pretender
la Universidad de Granada, las asignaturas especficas sobre crear nuevas asignaturas). Es decir, dedicar parte los
Seguridad que se establecieron fueron Seguridad y Proteccin contenidos de asignaturas ya existentes a abordar aspectos
de Sistemas Informticos, Seguridad en Sistemas bsicos de seguridad. Esto el algo que en algunos caso ya se
Operativos, y Criptografa y Computacin. hace parcialmente pero que habra que potenciar y coordinar.
Seguridad y Proteccin de Sistemas Informticos es Es evidente que esto presenta un problema: cmo incluir
obligatoria en la mencin de Tecnologas de la Informacin. competencias nuevas en asignaturas que ya de por s esta
Esta dedicada en gran parte a la criptografa, si bien cubre sobrecargadas. Las respuesta no es ni sencilla, ni nica. Es
algunos aspectos de seguridad en redes y comunicaciones, evidente que supone un gran esfuerzo de coordinacin a nivel
identidad digital, privacidad en Internet y comercio electrnico. de ttulo en que debemos valorar que equilibrio en la
Seguridad en Sistemas Operativos optativa de la mencin de formacin de nuestro estudiantes damos a dos aspectos
Ingeniera del Software. Asignatura diseada para completar la contrapuestos en muchos casos: inclusin de conceptos y/o
parte de seguridad vista en la asignatura de Sistemas tecnologas avanzados frente a conceptos/tecnologas que
Operativos de segundo curso, pero que tambin cubre otros hagan ms seguros los sistemas que pretendemos construir.
aspectos de la seguridad que los estudiante de la mencin de Como es evidente y pretenda dejar manifiesto en la
Ingeniera del Software no ha visto, como son: desarrollo de introduccin, la postura defendida en ste artculo es
software seguro, malware e ingeniera inversa, e informtica considerar necesario (obligatorio) sacrificar la inclusin de
forense. algunos temas, bien avanzados bien secundarios, para facilitar
Criptografa y Computacin es una optativa de la mencin la inclusin de elementos de Ciberseguridad. Afortunadamente,
de Computacin y Sistemas Inteligentes. Como su propio esto solo ocurrira en el peor de los casos. En otros casos se
nombre indica aborda adems de aspectos de cifrado de la pueden incluir modificando contenidos prcticos.
informacin, incluye los contenidos de seguridad de la A menudo, vemos como nuestros desarrollos en una veloz
asignatura de Sistemas Operativos que suelen incluirse en carrera por ofrecer nuevas soluciones tecnolgicas de cara a
cursos bsicos sobre la materia, como son bsicamente abarcar cuotas de mercado dejan atrs aspectos de seguridad.
autorizacin y control de acceso. Esto tiene en muchos casos consecuencias nefastas para los
A la luz de lo indicado, es notorio que no hay una asignatura usuarios. El grado de penetracin de competencias de
especfica de seguridad bsica que cursen todos los estudiantes seguridad en las asignaturas dependera, en este enfoque, del
del Grado y que exponga la complejidad y amplitud del tema. grado de sensibilizacin del profesorado hacia el tema, que sin
A continuacin se esbozar una propuesta que cubrira de dejar atrs las competencias legales establecidas para las
manera razonable estas deficiencias en seguridad y que tiene asignaturas podra aadir aspectos de seguridad bsicos
una implementacin cmoda y flexible dentro de los diferentes reduciendo algunos contenidos de las asignaturas que se han
marcos curriculares establecidos. La propuesta es abierta en el aadido en el proceso de confeccin de las mismas y que no
sentido que trata de ser vlida para muchos planes de estudios vienen obligados por las fichas.
no solo el de la Universidad de Granada y depender del Evidentemente, no se trata de que todos los alumnos sean
profesorado involucrado la inclusin de determinados profesionales de la Seguridad Informtica, pero si que
contenidos en las asignaturas a su cargo. Dado que no se ha conozcan, se sensibilicen y sean capaces de abordar los
materializado no podemos ofrecer evidencias de sus resultados. problemas que se producen al no tenerla en cuenta y cmo
pueden resolverlos ellos mismos o cundo es necesario recurrir
204
a tcnicos especializados. Esto les permitir eliminar de Las primeras asignaturas seran las relacionadas con la
entrada determinados defectos de sus construcciones software Ingeniera del Software (como Fundamentos de Ingeniera del
y facilitar la comunicacin en equipos multidisciplinares con Software, de 2 curso), donde no se cubre una metodologa de
profesionales de la seguridad. desarrollo software que tenga en cuenta la Seguridad como un
La propuesta se puede resumir como debemos ligar la requisito no funcional. La seguridad es un requisito que en
enseanza de la tecnologa con su uso de forma segura. Este muchas ocasiones no se estudia por falta de tiempo.
lema puede ser extensible a todos los niveles docentes donde se Las asignaturas bsicas de programacin (Fundamentos de
ensee tecnologa. Por ejemplo, deberamos ensear a nuestros Programacin y Metodologa de la Programacin, de primer
adolescentes de la Enseanza Secundaria Obligatoria o curso) son las candidatas naturales para introducir conceptos
Bachillerato, no solo a utilizar un navegador, sino a utilizar de fundamentales de programacin segura (o defensiva)
forma segura un navegador, por citar un ejemplo. Lo mismo destinados a eliminar vulnerabilidades en la etapa de
sera aplicable al uso seguro de redes sociales, dispositivos codificacin, como por ejemplo, desbordamiento de bfer.
mviles, etc. Otras asignaturas afectadas derivadas de las principales
Por poner un smil, cuando decimos voy a sacarme el carnet amenazas en sistemas, son las asignaturas de programacin
de conducir, no solo estamos asumiendo que vamos a web. Los sistemas web estn expuestos a un elevado nmero
aprender a manejar un vehculo, sino que un gran porcentajes de amenazas que el alumno debe conocer y saber paliar bien
de los conocimientos que abordaremos son de seguridad vial. manualmente bien utilizando algn framework de desarrollo
Debemos cambiar de mentalidad, como ocurre en otras que lo haga. El uso de un framework permite solventar ciertos
ingenieras, y ensear no solo tecnologas sino el uso seguro de tipos de ataques lo que no supone un incremento importante de
las mismas. contenidos.
A nivel universitario, esta propuesta se alinea con trabajos Estas consideraciones pueden extenderse como ejemplos de
previos como [11, 12, 22], donde se realizan diferentes prcticas a otras asignaturas, por ejemplo, de Big Data [16] que
propuestas de integrar la Seguridad en el currculo, pero que nos pueden ayudar a procesar grandes volmenes de
desgraciadamente no son muy numerosas ni parecen haber informacin dispar con los algoritmos adecuado.
arraigado lo suficiente. En los subapartados siguientes, concretamos algunos de los
Otro elemento importante, una vez concienciados de la aspectos anteriormente mencionados en las asignaturas ms
necesidad de incluir competencias de seguridad en nuestras directamente afectadas.
asignaturas, es establecer el sentido en el que debemos
A. Asignaturas de programacin
modificarlas para incluir dichos conocimientos.
En las asignaturas de programacin se incluiran muchos
Para responder a esta cuestin, se proponen dos lneas de
de los elementos que caen en el segundo grupo de errores
actuacin. La primera enfocada al desarrollo y construccin de
etiquetado con el nombre de Gestin arriesgada de recursos
software seguro, que afectara a las asignaturas relacionadas
que incluira los problemas derivados de: copia de bferes sin
con Programacin e Ingeniera del Software. La segunda,
comprobar las entradas (Buffer Overflow) [8], limitacin
desde el punto de vista de hacking, ver cuales son las amenazas
inadecuada de un nombre de camino a un directorio restringido
ms frecuentes y estudiar las soluciones para paliar o anular
(Path traversal) [17], uso de funciones potencialmente
dichas amenazas. Vamos a dar primero una visin general para
peligrosas, clculo incorrecto del tamao de un bfer, cadenas
luego concretar, en los subapartados siguientes, algunos
con formato incontrolado o desbordamiento de enteros.
ejemplos concretos de contenidos que debera abordarse en
Muchos de estos elementos se ven en las programaciones
asignaturas ya establecidas y que actualmente se hacen de
bsicas por lo cual lo nico que deberamos hacer es darles
manera baja o nula, al menos en el Grado de la Universidad de
consistencia y ligarlas con la seguridad del programa/sistema
Granada.
en construccin.
Vaya por adelantado la aclaracin de que algunos elementos
Quizs un elemento que debera incluirse es la utilizacin
de seguridad ya se ven el algunas asignaturas pero a veces no
de alguna herramienta para el anlisis esttico del cdigo
estn sistematizados y dependen de la concienciacin del
resultante en los supuestos de programacin. Esto se puede
profesor correspondiente. Por lo que la propuesta presentada no
hacer como parte de las prcticas y no debera ser muy costoso
solo va en la lnea de incluir nuevos contenidos si no tambin
en recursos.
tratara de sistematizar contenidos y distribuir competencias de
forma coordinada. B. Asignaturas de Ingeniera de Software
Para ayudarnos, en [4] podemos encontrar la lista de las 25 La mejor forma de evitar ataques (que no hacen ms que
errores software ms usuales que los programadores deberan aprovechar vulnerabilidades) es el desarrollo de software
mitigar o eliminar. Estos errores estn agrupados en tres seguro desde sus inicios. Para ello es necesario el uso de una
categoras (interaccin insegura entre componentes, gestin metodologa de desarrollo software que contemple la seguridad
arriesgada de recursos, y defensas porosas) que vamos a desde los inicios de proyecto. Esta necesidad se recoge en
despiezar en funcin de las asignaturas en los que se podran asignaturas como [22], donde se describe la asignatura de
incluir.
205
Seguridad de Sistemas Software enmarcada dentro de la D. Asignaturas de sistemas operativos

especialidad de Ingeniera del Software. Tradicionalmente, las asignaturas generales de sistemas
La propuesta citada es perfectamente vlida para una operativos suelen incluir algn tema terico de seguridad, que
especializacin en desarrollo de software, pero responde a un incluye una introduccin a la misma, y suele centrarse
enfoque diferente al adoptado en la propuesta: no beneficiara a generalmente en aspectos de autenticacin, autorizacin y
todos los estudiantes del Grado y duplicara una asignatura. Por control de acceso.
tanto, la propuesta presentada, va en la direccin de tener la A esto puntos, habra que aadir algunos elementos
seguridad inmersa en las asignaturas bsicas de Ingeniera del fundamentales y que no son muy difciles de alcanzar ya que se
Software. pueden incluir de manera natural en las prcticas de la
Entre los contenidos bsicos a incluir tendramos el uso de asignatura. Estos hacen referencia a la gestin de
una metodologa segura y el uso de herramientas de anlisis, actualizaciones del sistema operativo y las aplicaciones, la
verificacin y prueba de software seguro. En estas asignaturas gestin de listas blancas (white lists), y restriccin de
sera ms costosa la integracin pues supondra en muchos privilegios de administrador a los usuarios que lo necesitan.
casos el cambio completo de metodologa software utilizada y Estos elementos aseguran una reduccin del orden del 70% en
posiblemente presentara ms reticencias al cambio por parte la presencia de amenazas, tal como se indica en [2].
del profesorado. Pero no cabe duda que los beneficios en la Estos elementos pueden completarse, en la medida que el
seguridad del software que construyan nuestros futuros titulado temario prctico lo permita en la parte de administracin del
lo merece. sistema con gestin de copias de seguridad (una medida contra
Se pueden incluir contenidos del grupo de defensas el ransomware), y endurecimiento del sistema operativo (OS
porosas de los 25 errores comunes del software entre los que hardening como medida para reducir el frontera de ataque).
se incluiran: perdida de autenticacin en funciones crticas, IV. CONCLUSIONES
perdida de autorizacin, falta de cifrado de datos sensibles, o
asignacin incorrecta de permisos para recursos crticos. Puesta de manifiesto la importancia creciente de la
construccin de sistemas informticos seguros de cara a
C. Asignaturas de desarrollo web satisfacer las necesidades presentes y futuras de la Sociedad de
El grupo de interaccin insegura entre componentes la Informacin, se ha pretendido concienciar la necesidad de
incluye mayoritariamente aspectos relacionados con el una formacin bsica en materia de Ciberseguridad para todos
desarrollo web, a saber: neutralizacin inadecuada de los estudiantes del Grado en Informtica.
elementos especiales en las rdenes SQL (SQL injection), Para ello, se propone un modelo que permitira incluir
neutralizacin inadecuada de entradas en la generacin de competencias de seguridad en los actuales planes de estudios
pginas web (Cross-site scripting), carga sin restricciones de de forma transversal sin necesidad de una modificacin
archivos con tipos peligrosos, falsificacin de solicitudes estructural de los mismos, sino que afecta al diseo de
cruzadas (Cross-Site Request Forgecy CSRF), redireccin de contenido de asignaturas ya existentes. Este rediseo puede ir
URLs a sitios no confiables, o exposicin de informacin a desde la sistematizacin de contenidos hasta la adaptacin de
travs de mensajes de error. nuevas competencias, dependiendo de la asignatura.
Tambin seran elementos potenciales a incluir, algunos de Tambin se ha puesto de manifiesto como este modelo
segundo grupo gestin arriesgada de recursos, a saber, la depender de una coordinacin transversal de los contenidos
descarga de cdigo sin comprobacin de integridad, y la que si bien exige esfuerzo por parte del profesorado es
inclusin de funcionalidad desde una esfera de control no fcilmente modularizable para separar dichas competencias en
confiable, por ejemplo, cdigo mvil. asignaturas y cuyo resultado sera la formacin profesionales
Es evidente la dificultad de incluir en dos o tres asignaturas concienciados con la construccin de sistemas seguros.
de 6 crditos la descripcin de todos los elementos citados, La propuesta realizada es abierta a cualquier plan de estudios
pero sera aconsejable que los alumnos al menos conociesen de de Informtica de forma que sean los profesores responsables
que tratan y, al menos, cmo evitarlos en los casos ms de las asignaturas afectadas quienes decidan los aspectos de
comunes. Adems de tener presente que deberan de trabajar seguridad que pueden cubrir y la profundidad de los mismos.
con profesionales del tema cuando desarrolla aplicaciones/sitio
web de forma profesional.
Aqu es tambin posible una distribucin de contenidos REFERENCIAS
entres las numerosas asignaturas sobre desarrollo web incluidas [1] ACM/IEEE-CS Joint Task Force on Computing Curricula. 2013.
en los nuevos planes. Por otro lado, en las prcticas de estas Computer Science Curricula 2013. ACM Press and IEEE Computer
Society Press. DOI: http://dx.doi.org/10.1145/2534860 .
asignaturas se pueden plantear proyectos conjuntos con otras [2] Australian Defence Signals Directorate (DSD), Strategies to Mitigate
asignatura, como la que imparto de Seguridad en Sistemas Targeted Cyber Instrusions Mitigation Details, Oct. 2012.
Operativos, para realizar test de penetracin de sitios web, por [3] BOE, resolucin de 8 de junio de 2009 de la Secretara General de
Universidades, n 187 de 2009, 4 Agosto de 2009.
ejemplo. [4] Steve Chistey (Ed.), CWE/SANS Top 25 Most Dangerous Software
Errors, Common Weakness Enumeration, Sep. 2011.
206
[5] Comisin Europea, "Ciberdelincuencia: Los ciudadanos de la UE,

preocupados por la seguridad de la informacin personal y los pagos en
lnea". Bruselas 9/6/2012. http://europa.eu/rapid/press-release_IP-12-
751_es.htm?locale=en.
[6] Neil Couch y Bill Robins, Big Data for Defence and Security, Royal
Unidted Service Institute (RUSI), Septiembre de 2013.
[7] Shreyas Doshi, Building a saer Twitter, publicado el 2 de diciembre de
2014, disponible en https://blog.twitter.con/1024/building-a-safer-twitter.
[8] Mark E. Donaldson, Inside the Buffer Overflow Attack:Mechanism,
Method, & Prevention, SANS Institute InfoSec Reading Room, 2002.
[9] Jess Duva, El 95% de los ciberdelitos cometidos quedan impunes, El
Pas, 4/5/2014.
http://politica.elpais.com/politica/2014/05/03/actualidad/1399117342_852
720.html.
[10] Europa Press, "Espaa sufri ms de 70000 ataques cibernticos, la cifras
ms alta tras EEUU y Reino Unido", Madrid, 5/2/2014.
http://www.europapress.es/nacional/noticia-espana-sufrio-2014-mas-
70000-ataques-ciberneticos-cifra-mas-alta-eeuu-re20150205115531.html.
[11] Trudy Howles, Carol Romanowski, Sumita Mishra y Rajendra K. Raj, A
Holistic, Modular Approach to Infuse Cyber Security into Undergraduate
Computing Degree Programs, Annual Symposium on Information
Assurance (ASIA 2011), Albany NY, June 2011.
[12] Cynthia E. Irvine, Shiu-Kai Chin, y Deborah Frincke, "Integrating
Security into the Curriculum" (1998). Electrical Engineering and
Computer Science. Paper 84. http://surface.syr.edu/eecs/84.
[13] Identity Theft Resource Center, Breach Report Hits Record High in 2014,
publicado el 12/1/2015, disponible en http://www.idtheftcenter.org/ITRC-
Surveys-Studies/2014databreaches.html.
[14] ISACA, State of Cybersecurity: Implications for 2015. An ISACA and
RSA Conference Survey, RSA Conference, 2015.
http://www.isaca.org/cyber/Documents/State-of-
Cybersecurity_Res_Eng_0415.pdf.
[15] McAfee, Net Losses: Estimating the Global Cost of Cybercrime.
Economic impact of cybercrime II , McAfee, Junio de 2014.
http://www.mcafee.com/us/resources/reports/rp-economic-impact-
cybercrime2.pdf.
[16] Ministerio del Interior, "Avance de los datos estadsticos de 2013
relativos a la cibercriminalidad" , 2013.
http://www.interior.gob.es/prensa/balances-e-informes/2013.
[17] OWASP, Path Traversal, lima revisin 27/5/2009, disponible en
https://www.owasp.org/index.php/Path_Traversal.
[18] Presidencia de Gobierno, Esquema de Ciberseguridad Nacional, Gobieno
de Espaa 2013.
http://www.lamoncloa.gob.es/documents/20131332estrategiadecibersegur
idadx.pdf.
[19] Jorge Rami, "Introduccin de las Enseanzas de Seguridad Informtica
en los Planes de Estudio de las Ingenieras del Siglo XXI", JENUI 2001.
[20] Jorge Rami, Informe grfico de la tesis doctoral La enseanza
universitaria en seguridad TIC como elemento dinamizador de la cultura
y la aportacin de confianza en la sociedad de la informacin en Espaa.
Len, 12 de diciembre de 2013.
http://www.criptored.upm.es/guiateoria/gt_m001i1.htm.
[21] David G. Rosado, Carlos Blanco, Luis Enrique Snchez, Eduardo
Fernndez-Medina, y Mario Piattini, "La Seguridad como una asignatura
indispensable para un Ingeniero del Software", JENUI 2010, pgs. 205-
212. http://upcommons.upc.edu/revistes/bitstream/2099/11778/1/a25.pdf.
[22] Blair Taylor, Harry Hochheiser, Shiva Azadegan, y Michael OLeary,
"Cross-site Security Integration: Preliminary Experiences across
Curricula and Institutions", Proceedings of the 13th Colloquium for
Information Systems Security Education, Seattle, WA June 1- 3, 2009.
[23] Georgory White and Georgory Nordstrom. 1997. "Security across the
curriculum: using computer security to teach computer science
principles". En Internet besieged, Dorothy E. Denning and Peter J.
Denning (Eds.). ACM Press/Addison-Wesley Publishing Co., New York,
NY, USA 519-525.
207
JNIC2015 Author Index
Author Index
Alegre, Enrique 137

Alonso, Javier 195
Andreu Blazquez, Juan Jose 76
Anido-Bande, Ruben 168
Astarloa, Armando 78
Bagnulo, Marcelo 108

Banobre-Gomez, Manuel 105
Beltran Pardo, Marta 161, 176
Bilge, Leyla 14
Brezo, Felix 32
Caballero, Juan 14, 18, 86

Camacho, Jose 80, 182
Cano, Jose Enrique 182
Caro, Andres 148, 198
Carriegos, Miguel V. 195
Casari, Paolo 51
Catalano, Dario 84
Cilleruelo Rodrguez, Carlos 45, 141
Corchado, Juan M. 82
Corredera de Colsa, Luis Enrique 82
Cuesta Parejo, Alberto 45
Darriba-Bilbao, Vctor M. 168

de Fuentes, Jose Mara 88, 110
De La Prieta, Fernando 82
Dol, Henry 51
Doychev, Goran 72
Dumitras, Tudor 14
Fernandez Robles, Laura 137

Fiore, Dario 84
Garca, Juan F. 195

Garca Moro, Alberto 99
Garca Ordas, Diego 137
Garca Ordas, Mara Teresa 137
Garca Villalba, Luis Javier 26, 67
Garca-Olalla Olivera, Oscar 137
Garca-Planas, Mara Isabel 116
Garca-Teodoro, Pedro 74, 80
Garitano, Inaki 59
208
Gasca, Rafael M. 122

Gayoso Martnez, Vctor 88, 110
Gil Perez, Manuel 76, 129
Goetz, Michael 51
Gomez Hernandez, Jose Antonio 203
Gomez-Casero Marichal, Jose Miguel 141
Gonzalez Manzano, Lorena 88, 110
Gonzalez Perez, Pablo 92
Gonzalez Vasco, Mara Isabel 90
Guarnido Ayllon, Mara 182
Guevara, Cesar 8
Hernandez Encinas, Ascension 1, 190

Hernandez Encinas, Luis 110
Holgado, Pilar 39, 129
Iturbe, Mikel 59
Jacob, Eduardo 78
Johnson, Richard 14
Kalwa, Joerg 51
Komulainen, Arwid 51
Kotzias, Platon 18, 86
Kopf, Boris 72
Leus, Geert 51
Leyva Garca, Monica 182
Lopez, Victoria 8
Lopez Barriuso, Alberto 82
Lopez Hernandez-Ardieta, Jorge 160
Lopez Perez, Francisco 182
Lutu, Andra 108
Macia-Fernandez, Gabriel 74, 80

Maestre Vidal, Jorge 26, 67
Magret, Maria Dolors 116
Mandalari, Anna Maria 108
Marco, Hector 22, 24
Martn de Diego, Isaac 176
Martn del Rey, Angel 1, 190
Martn Munoz, Agustn 110
Martn Perez, Miguel 20
Martn Vaquero, Jesus 1, 190
Martnez Perez, Gregorio 76, 129
Martnez-Torres, Javier 160
Matic, Srdjan 18, 86
209
Molina, Elas 78
Munoz Gijon, Antonio 182
Munoz Munoz, Alfonso 92
Nappa, Antonio 14
Nasta, Stefano 51
Nilsson, Bernt 51
Nilsson, Jan 51
Nissen, Ivor 51
Nizzardo, Luca 84
Otnes, Roald 51
Pacini, Francesco 51
Parra Lopez, Pascual 160
Pasic, Aljosa 156
Perez del Pozo, Angel Luis 90
Queiruga Dios, Araceli 1, 190
Reyes Maldonado, Anabel 182

Ribadas-Pena, Francisco J. 105, 168
Ripoll, Ismael 22, 24
Rivera, Richard 86
Rodrguez, Ricardo J. 16, 20
Rodrguez Sanchez, Gerardo 1, 190
Rodrguez-Gomez, Rafael A. 74, 182
Rubio, Yaiza 32
Sanchez Rubio, Manuel 45, 141

Sandoval Orozco, Ana Lucila 26, 67
Santos, Matilde 8
Santos Esteban, David 160
Schreiber, Sabrina 51
Sevillano, Fernando 161
Strandberg, Henrik 51
Suarez Corona, Adriana 90
Theron, Roberto 80
Um, Laurence 116

Uribeetxeberria, Roberto 59
van Walree, Paul 51

Varela Vaca, Angel Jesus 122
Vila, Jose 16
Villagra, Vctor A. 39, 99, 129
210
Vinals, Vctor 20
Zago, Mattia 76
Zorzi, Michele 51
Zurutuza, Urko 59
Oberg, Tommy 51
211

Jnic2015 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Jnic2015 PDF

Cargado por

Copyright:

Formatos disponibles

RIASC, Universidad de Leon INCIBE

ACTAS DE LAS PRIMERAS

Leon. 14, 15, 16 de septiembre 2015

Actas de las primeras Jornadas Nacionales de Investigacion en Ciberseguridad .

Esta permitida la descarga y la reproduccion total o parcial de esta obra y

Primera sesion: Vulnerabilidades, malware y exploits 1

Segunda sesion: Artculos cortos - Vulnerabilidades, Malware y exploits

Tercera sesion: Seguridad, ataques y contramedidas

Cuarta sesion: Seguridad en redes

Quinta sesion: Artculos cortos - Seguridad en Redes, ataques, contramedidas y criptografa

Sexta sesion: Vulnerabilidades, malware y exploits 2

Septima sesion: Privacidad, Criptografa y autentificacion

Octava Sesion: Temas relacionados con la ciberseguridad

Novena sesion: Ciberseguridad en Industria

Decima sesion: Innovacion docente en ciberseguridad

Leon, 11 de septiembre de 2015 El Comite Editorial

Gilles Barthe IMDEA Software Institute

Industrial Track Chair

Education & Innovation Track

Challenges Track Chair

Students Session Chair

Local Arrangement Chairs

chair: Miguel V. Carriegos Universidad de Leon

Vctor A. Villagra Universidad Politecnica de Madrid

Primera sesion: Vulnerabilidades, malware y exploits 1

Propagacion del malware: nuevos modelos para nuevos escenarios . . . . . . . 1

Sistema de Deteccion de Intrusos aplicando Seleccion Negativa en

Segunda sesion: Artculos cortos: Vulnerabilidades, Malware y

The Attack of the Clones: A Study of the Impact of Shared Code on

Experiences on NFC Relay Attacks with Android: Virtual Pickpocketing

CARONTE : Detecting Location Leaks for Deanonymizing Tor Hidden

Prevencion de ataques ROP mediante Instrumentacion Dinamica . . . . . . . 20

Robustenciendo Apache frente a ataques de desbordamiento de pila . . . . . 22

Prevencion de explotacion de vulnerabilidades mediante diversificacion

Tercera sesion: Seguridad, ataques y contramedidas

Sistema Inmunitario Adaptativo para la mitigacion de ataques de

La utilizacion de herramientas de monitorizacion de usuarios como base

Neural Networks applied to the learning process of Automated

Cuarta sesion: Seguridad en redes

Sistema visual de monitorizacion de seguridad de flujos de red industriales 59

Quinta sesion: Artculos cortos: Seguridad en Redes, ataques,

Seguridad definida por software en subestaciones electricas . . . . . . . . . . . . . 78

Security services as cloud capabilities using MAS . . . . . . . . . . . . . . . . . . . . . 82

Certified PUP: Abuse in Authenticode Code Signing . . . . . . . . . . . . . . . . . . 86

Sexta sesion: Vulnerabilidades, malware y exploits 2

Ingeniera inversa: metodos utilizados y analisis de tecnicas para la

Septima sesion: Privacidad, Criptografa y autentificacion

Octava Sesion: Temas relacionados con la ciberseguridad

Evolving from a static toward a proactive and dynamic risk-based

How to find an image despite it has been modified . . . . . . . . . . . . . . . . . . . . 137

Inseguridad en infraestructuras crticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

Novena sesion: Ciberseguridad en Industria

Reto en ciberseguridad: analisis forense de discos . . . . . . . . . . . . . . . . . . . . . . 148

Research-to-market transition in European Cybersecurity Projects . . . . . . 156

Cyber Ranges for Cybersecurity Training: Challenges and Novel

Metodologa para el Analisis, Auditora de Seguridad y Evaluacion

Decima sesion: Innovacion docente en ciberseguridad

Repositorio de actividades autonomas para la docencia de seguridad en

Experiencias actualizando la asignatura de Seguridad Informatica para

Laboratorio Docente de Ciberseguridad basado en live-USB . . . . . . . . . . . . 182

Bachillerato de Excelencia, Criptografa y Seguridad de la Informacion:

Una apuesta por la educacion en ciberseguridad desde el ambito

Propagacion del malware: nuevos modelos para

a (1 ) "+,-.+$") b y eliminado con exito, b (P (t) + I (t)), y dispositivos sus-