20 junio 2016




En general, si en algo podemos caracterizar a España en cuanto a la seguridad informática, es por contar con muchísimos eventos de seguridad repartidos a lo largo y ancho de su geografía: la mayoría públicos y algunos privados, dirigidos a todo tipo de público, desde los más neófitos en la materia hasta aquellos muy especializados, con contenidos más generalistas hasta contenidos muy innovadores y con un alto carácter técnico. Todos ellos han ido creciendo rápidamente en número, pasando de muy pocos y espaciados en el tiempo, a poder contar con al menos un par de eventos al mes como mínimo y prácticamente en cualquier lugar.

Para este artículo, se han elegido los eventos públicos organizados por entidades privadas y que son representativas de las denominadas "CONs" en el argot o "Conferencias de Seguridad", ya que además existen otra multitud de eventos públicos organizados por las Administraciones Públicas, eventos con un fin más comercial, etc. Nos centraremos simplemente en las que podemos decir que tienen la "esencia de una CON".

Todas ellas bajo el mismo denominador común que las caracteriza, con independencia del tipo de público al que se dirigen, siempre se hace especial hincapié en recomendar al público que emplee siempre las mejores prácticas y medidas de seguridad, sobre todo al navegar por un sitio web, que se fijen en el "candadito" famoso del navegador principalmente a la hora de tener que facilitar cualquier tipo de dato personal. Pero en este artículo nos planteamos si ellas son las primeras que lo hacen, al menos para dar ejemplo a diferentes Organizaciones, Administraciones, particulares, etc. y cuentan con las medidas de seguridad mínimas en cuanto a la implementación de protocolos y prácticas de navegación seguras en sus páginas web de internet.

Es cierto que no se encuentran obligadas a dar cumplimiento a ninguna Ley como la 11/2007 de 22 de junio de Acceso Electrónico a los servicios públicos como ocurre en el caso de las Administraciones Públicas, pero algunas veces, en sus páginas nos solicitan datos de carácter personal para suscribirnos a una lista de correo, para adquirir una entrada o para cualquier otra cosa. Por tanto, deben de cumplir con la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD) y en función de la clasificación de los datos personales que requieran, tendrán la obligación de aplicar diversas medidas de seguridad.

Para poder asegurar un protocolo inseguro como HTTP, empleamos SSL (Secure Sockets Layer) y TLS (Transport Layer Security) para poder cifrar las comunicaciones y poder autenticar al menos a una de las partes, en este caso el servidor para que sea realmente quien dice ser ante nosotros y no pueda existir un repudio, siendo a veces opcional incluso la autenticación también del cliente.

Otros compañeros del sector ya han presentado varios informes en los que se hablaba sobre las necesidades del cifrado como el Análisis de la implementación SSL en los Ayuntamientos Españoles donde el panorama de las conclusiones expuestas era bastante desolador.

Veremos si los que deberían de ser los primeros y "predicar con el ejemplo" realmente lo hacen y cómo es la situación actual entre las diferentes CONs.

La muestra empleada han sido todas las denominadas CONs de España activas del tipo público y organizadas por entidades privadas conforme se ha explicado anteriormente. Ha sido realizado el día 26 de mayo de 2016 y la única CON no incluida ha sido "ConectaCON" ya que redirigía su página a otra CON que ya es objeto de estudio. Por tanto, contamos con un total de 21 CONs de este tipo. Pido disculpas anticipadas por si he olvidado alguna o no se ha incluído algún evento, pero es lo que tiene tener tanta diversidad.

Para el análisis, se ha empleado el servicio de "Qualys SSL Labs" para analizar la seguridad del servidor principal de cada CON disponible en https://www.ssllabs.com/ssltest/analyze.html donde han sido analizados los siguientes aspectos:

a) Autenticación

a.1.- Certificado del servidor
a.2.- Certificados adicionales
a.3.- Cadena de certificación

b) Configuración

b.1.- Protocolos
b.2.- Cifrados empleados
b.3.- Simulación de handshakes
b.4.- Detalles del protocolo
b.5.- Misceláneo

En la siguiente tabla, se muestran los resultados finales obtenidos según el grado final conseguido en base al análisis minucioso y exhaustivo de los aspectos se seguridad indicados anteriormente. Para el ranking, cuando no es posible acceder por SSL/TLS, se ha priorizado un error en la conexión a mostrar una página indicando la posibilidad de mostrar el sitio web.

+-------------+-----------------------+------+------+-------+-------+---------------------------+
|     CON     |           URL         | NOTA | HTTP | HTTPS |  HSTS |         COMENTARIOS       |
+-------------+-----------------------+------+------+-------+-------+---------------------------+
| FAQin       | faqin.org             |  A+  |  Ok  |   Ok  |   Ok  | (1)                       |
| Morteruelo  | morteruelo.net        |  A+  |  Ok  |   Ok  |   Ok  | (2)                       |
| Rooted      | rootedcon.com         |  A   |  Ok  |   Ok  |       | (6)                       |
| Navajanegra | navajanegra.com       |  B   |  Ok  |   Ok  |       | (3)(4)(5)(6)              |
| Nocon Name  | noconname.org         |  C   |  Ok  |   Ok  |   Ok  | (3)(4)(7)                 |
| Mundohacker | mundohackerday.com    |  F   |  Ok  |   Ok  |       | (8)(0)(A)(9)(7)(B)(4)     |
| Easthackmad | eastmadhack.org       |  T   |  Ok  |   Ok  |       | (8)(3)                    |
| Qurtuba     | qurtuba.es            |  T   |  Ok  |   Ok  |       | (8)(C)(3)                 |
| Hack&Beers  | hackandbeers.es       |  T   |  Ok  |   Ok  |       | (8)(C)(3)                 |
| X1Red+Segura| x1redmassegura.com    |      |  Ok  |       |       | (F)                       |
| Secadmin    | www.secadmin.es       |      |  Ok  |       |       | (F)                       |
| Honeysec    | honeysec.info         |      |  Ok  |       |       | (F)                       |
| Clickaseguro| clickaseguro.es       |      |  Ok  |       |       | (F)                       |
| Hackron     | hackron.com           |      |  Ok  |       |       | (D)(E)                    |
| Sh3llcon    | www.sh3llcon.es       |      |  Ok  |       |       | (D)(E)                    |
| Euskalhack  | euskalhack.org        |      |  Ok  |       |       | (D)(E)                    |
| Gsickminds  | gsickminds.net        |      |  Ok  |       |       | (D)(E)                    |
| Albahaca    | albahacacon.es        |      |  Ok  |       |       | (D)(E)                    |
| Tomatina    | tomatinacon.com       |      |  Ok  |       |       | (D)(E)                    |
| Paella      | paellacon.com         |      |  Ok  |       |       | (D)(E)                    |
| Conpilar    | conpilar.es           |      |  Ok  |       |       | (D)(E)                    |
+-------------+-----------------------+------+------+-------+-------+---------------------------+


*** Leyenda ***

(1) Negocia los protocolos de mayor seguridad y mayor longitud en bits a menor (más seguro)
(2) Negocia los protocolos de mayor seguridad y menor longitud en bits a menor (menos seguro)
(3) Negociación débil con Diffie-Hellman
(4) No soporta Perfect Forward Secrecy (PFS)
(5) Cadena de certificación incompleta
(6) Sólo soportan navegadores con soporte de Server Name Identification (SNI)
(7) Sólo soporta TLS 1.0
(8) Certificado no confiable (difiere el nombre al sitio)
(9) Algoritmo de firma débil en el certificado
(0) Soporta SSL 2
(A) Soporta SSL 3
(B) Soporta RC4
(C) Vulnerable a Poodle
(D) No configurado para permitir HTTPS
(E) Se muestra mensaje del propio ISP instando a cambiar la página
(F) No se puede conectar


Puede accederse a los resultados individuales detallados obtenidos por Qualys SSL Labs para cada una de las CONs en https://mega.nz/#!wRRXUJQB!TUzUe1sFXn-UcTIYduKE3qmMkSfFUNmidGSPC_lBaW0

Como conclusión y a la vista de los resultados, podemos decir que son muy mejorables en general las medidas de seguridad mínimas en cuanto a la implementación de protocolos empleadas en sus servidores. Por tanto, se da muy bien organizar todo tipo de CONs pero no tanto dedicar algo de tiempo a ser los primeros en dar ejemplo y tener los servidores correctamente configurados para que cuando el público navegue con el "candadito" puesto -en el caso de que sea posible- lo haga de la forma más segura posible. Destacar también que sólo 3 CONs son capaces de trabajar de forma segura con el protocolo HSTS (HTTP Strict Transport Security) y que 2 de ellas hacen uso de la autoridad de certificación Let's Encrypt.

Contribución Anónima