EuroCERT

Rubén Martínez

Introducción

En la pasada edición del Boletín se presentaba como novedad la colaboración de RedIRIS con el piloto de TERENA SIRCE, y la creación del equipo de seguridad EuroCERT como encarnación práctica del mismo. La presentación oficial, más detallada, tuvo lugar en las Jornadas Técnicas de Zaragoza, y se resume a continuación.

1.- Antecedentes históricos

En 1988, un programa llamado `Gusano de Morris' (por su autor) se infiltró por sorpresa en lo que podríamos considerar embrión de la Internet actual. Este programa aprovechaba diversos errores de los sistemas operativos para introducirse en un ordenador, y desde ahí `saltar' a otros conectados, creando nuevas copias de sí mismo. La idea de un `virus' informático no era nueva pero éste, lejos de requerir un intermediario humano para transmitirse (por ejemplo, en un disquete `infectado'), podía transmitirse en cuestión de segundos y ocupar miles de sistemas gracias a las nuevas facilidades de interconexión.

Este gusano era relativamente inofensivo. Debido a un error de su diseñador, se limitaba a consumir recursos dejando la máquina inutilizable, pero igualmente podría haber destruido sus datos (los datos de todas las máquinas conectadas). Si algo puso de manifiesto el gusano de 1988 fue lo vulnerable que resultaba la nueva macroestructura de red en la que tantas esperanzas se estaban depositando, y la poca preparación de los centros que la componían para actuar de forma coordinada ante una emergencia.

Así las cosas, el Departamento de Defensa de los Estados Unidos financió la creación del CERT (Computer Emergency Response Team) para realizar esta tarea de coordinación. Con el tiempo, en parte debido a la labor preventiva y de divulgación del CERT, y en parte debido a su incapacidad para asimilar la demanda creciente, se crearon equipos de seguridad locales en diversas instituciones (llamados oficialmente IRTs, y coloquialmente `certs').

Actualmente, el número de estos equipos en todo el mundo es lo bastante grande como para que CERT (ahora CERT/CC, CERT Coordination Center) ya no actúe de enlace directo entre los centros, sino como coordinador de los otros `certs'. Además, la coalición FIRST (Forum of Incident Response and Security Teams) sirve de nexo de unión entre éstos y varias entidades que participan en otros aspectos de la seguridad informática (comerciales, de investigación, gubernamentales, etc.).

2.- Y en Europa, ¿qué?

Europa no ha sido ajena a esta evolución. Con 28 equipos de seguridad europeos, 17 de ellos miembros de FIRST, con un alto porcentaje de incidentes registrados (con respecto al resto del mundo), con un marco organizativo común como es la Unión Europea, y con ventajas como la proximidad geográfica y la afinidad cultural, ¿por qué no existe un centro europeo análogo a CERT/CC?

Puesto de otro modo, ¿por qué la coordinación entre (pongamos por caso) tres equipos de seguridad europeos debe ocurrir a través de CERT/CC en el otro extremo del mundo, con todo lo que ello implica de diferencia horaria, desconocimiento del contexto europeo, etc.? Más aún, ¿por qué debe pagarla el gobierno de los Estados Unidos?

Estas preguntas no son nuevas. Se ha dicho en más de una ocasión que una diferencia entre el modus operandi americano y el europeo es que ellos hacen y luego adaptan, mientras que nosotros planificamos y luego hacemos. Como consecuencia, sus desarrollos son más chapuceros pero funcionan antes, mientras que los nuestros son mejores... si alguna vez llegan a ver la luz. Internet es un desarrollo chapucero que funcionó. [1] El desarrollo de EuroCERT ha sido, desde este punto de vista, de estilo marcadamente europeo. Queriendo decir que tras cinco años de planificación aún no está del todo claro que llegue a consolidarse, y al mismo tiempo, que es un diseño bastante cuidado con vistas a realizar un proyecto práctico, útil, abierto y flexible. Sigue un breve resumen de este largo camino:

1992:RARE (precursor de TERENA) organiza el task-force CERT-TF para especificar cómo debería ser un CERT europeo. Sus trabajos durarán hasta 1994.
1993: Primera reunión de equipos de seguridad europeos (Amsterdam), para evaluar los progresos de CERT-CF y aportar sus contribuciones.
1994:Conclusión final CERT-TF.

  • Se detalla cómo debe ser CERT-EU.

  • Segunda reunión (Hamburgo).

  • Se presentan propuestas concretas para realizar esta tarea (RIPE-NCC, DANTE).

  • Llamada a nueva reflexión. TERENA inicia proyecto ConCERT-in-E.
    • 1995: TERENA inicia un nuevo task-force (CERTS in Europe o CERIE), en el contexto de su Grupo de Trabajo de Seguridad.

  • Creación de un equipo de seguridad en RedIRIS.

  • Tercera reunión (Karlsruhe), primera en que participa RedIRIS.
    • 1996:Informe CERIE, detallando la creación de EuroCERT (aún sin nombre) en tres fases.

  • Primera propuesta para gestionar este centro: no hay candidatos.

  • Creación en TERENA de CERT-TAG (Technical Advisory Group).
  • Segunda propuesta. Varios candidatos, finalmente es seleccionada la coalición Dante/Ukerna. Comienza oficialmente el piloto, con nombre interno SIRCE (Security Incident Response Coordination for Europe).
    • 1997:Presentación de EuroCERT.

  • Abril: Presentado en el JENC (Edimburgo).

  • Mayo: EuroCERT contrata su primer empleado y comienza su actividad.

  • Julio: Presentado en FIRST (Bristol).

  • Septiembre: Presentado en RIPE (Amsterdam).

  • Noviembre: Presentado en RedIRIS (Zaragoza) :-)

    • 3.- Estructura y desarrollo previsto

    Como se ha comentado, el informe CERIE preveía un EuroCERT en tres fases:

    • Fase de apoyo y creación de infraestructuras: personal básico, servidores de información, listas de correo, comunicaciones seguras.

    • Fase de atención de incidentes: medidas de actuación a posteriori, coordinación multilateral, atención 24 horas.

    • Fase de coordinación de incidentes: incorporar también medidas preventivas, formación, análisis, investigación aplicada.

    El piloto SIRCE de TERENA se adapta a este esquema, y es gestionado por Dante/Ukerna con el nombre EuroCERT. Actualmente lo financian las redes contribuyentes: ACONet (Austria), ARNES (Eslovenia), CNUCE (Italia), DFN (Alemania), NORDUNet (Países nórdicos), RedIRIS (España), SURFNet (Holanda), SWITCH (Suiza), UKERNA (Reino Unido) y UNINETT (Noruega, que aparece como primer paso de la separación de NORDUNet en sus distintas redes nacionales a efectos de este servicio). El objetivo es crear eventualmente un servicio financiado por sus usuarios, siendo éstos cualquier equipo de seguridad europeo, académico o no.

    Mientras tanto, existen dos órganos de control para evaluar los progresos realizados y proponer vías a seguir. El comité de supervisión (SIRCE-MC) analiza la viabilidad técnica, mientras que el comité de contribuyentes (SIRCE-CC) analiza la viabilidad financiera. Cada uno de éstos cuenta con un representante por red contribuyente, más representantes de DANTE y TERENA.

    4.- Conclusión

    El piloto EuroCERT está operativo desde mayo de 1997. Los objetivos de la primera fase se han cumplido, y estamos actualmente en una fase de transición que facilite el acceso a la segunda. El 12 de enero de 1998 tendrá lugar la primera reunión pública, en Milán (Italia). Está dirigida a todos los equipos de seguridad que quieran contribuir al proyecto, así como a los usuarios potenciales o a quienes simplemente tengan curiosidad.

    La viabilidad futura del proyecto está fuertemente condicionada por la disponibilidad de las redes contribuyentes para seguir financiándolo.

    5.- Referencias

    Servidor WWW:

    http://www.eurocert.net
    http://www.rediris.es/cert/internacional.es.html

    Dirección de correo para consultas:

    dirección de correo eurocert [at] eurocert [dot] net

    Listas de correo:

    dirección de correo public [at] eurocert [dot] net(abierta)
    dirección de correo euro-irt [at] eurocert [dot] net(para equipos de seguridad europeos en general)
    dirección de correo client-irt [at] eurocert [dot] net(para equipos contribuyentes)

    Nota:

    1.- No hay ánimo peyorativo en este párrafo, excepto presentar dos formas distintas y complementarias de hacer las cosas. Internet es un desarrollo chapucero en tanto que limitado y falto de previsión, pero parte de su indudable éxito se debe precisamente a eso.

    Rubén Martínez
    Área de Seguridad
    dirección de correo ruben [dot] martinez [at] rediris.es