Security testing: desde el chip hasta el switch

Resumen de la actividad

El sector de la certificación de productos de ciberseguridad, con esquemas como Common Criteria (CC), ayuda a los fabricantes y desarrolladores a demostrar la robustez y ciberresiliencia de sus productos (TOE) mediante sellos internacionalmente reconocidos que demuestran que han pasado una evaluación independiente y les permiten, en muchos casos, acceder a nuevos mercados o posicionar su producto en AAPP y organismos internacionales. Para el laboratorio evaluador, esto implica evaluar la seguridad de los dispositivos de manera rigurosa, incluyendo análisis documental, revisión de diseño, y testing funcional, análisis de vulnerabilidades y pentesting. Dado este contexto, esta charla propone un recorrido por técnicas de evaluación que abarcan desde el nivel físico del hardware hasta la capa de red. La primera parte se centra en un caso práctico de ataque físico, ilustrando cómo se utiliza la técnica de análisis de trazas SPA y dando una breve introducción de cómo se puede utilizar para iniciar un ataque de Fault Injection. La segunda parte de la charla se centra en el ámbito de las comunicaciones, explorando el crafteo y fuzzing de paquetes de red como herramienta de testing que puede revelar comportamientos no esperados del TOE ante paquetes malformados, o incluso fallos de seguridad cuanto todos los campos no se validan correctamente. El enfoque general es mostrar cómo el testing en un contexto de evaluación de seguridad requiere una visión transversal y, al mismo tiempo, introducir a los asistentes en la dinámica de trabajo propia de este sector.