10 grans idees en seguretat digital

No feia gaire temps que les notícies de seguretat significaven vulnerabilitats obscures i els virus que es difonien als ordinadors de sobretaula. Però ara la gent de tot arreu es preocupa d’atacar les agències governamentals, de Heartbleed deixant anar les seves dades personals a la xarxa i d’amenaçar les amenaces mòbils. Heck, la cobertura de les filtracions d’Edward Snowden sobre els esforços d’espionatge nacional de l’Agència de Seguretat Nacional van encetar els Premis Pulitzer aquest any. A mesura que les nostres vides es van centrant més en els dispositius digitals i Internet, cada vegada es preocupa més per la seguretat, i amb raó. La pregunta és, quins són els problemes reals i què és només el gust del mes passat dels principals mitjans de comunicació?

Per obtenir una visió sòlida del que realment importa, remeneu al febrer passat, quan milers d'assistents van acudir a San Francisco per a la Conferència RSA. Entre ells es trobaven els creadors de productes de seguretat i els investigadors que han trencat algunes de les històries més importants de seguretat. És una de les reunions més grans d'aquest tipus i les idees de RSAC tindran un gran impacte en la seguretat digital durant la resta de l'any.

Snowden i seguretat

La gent acostumava a fer broma de que el govern dels Estats Units escoltava tot el que deia tothom, però ningú ja no es riu de res. El suposat acord entre l'Agència de Seguretat Nacional i RSA Security va suposar una clara atenció sobre la conferència, que ja no està directament afiliada a l'empresa RSA.

Sorprenentment, la NSA va decidir tornar a tenir presència a la sala d’exposicions aquest any. Tot i que no ho haguessin fet, era difícil evitar l’ANS. Alguns venedors es van lliurar a les muntanyes amb el logotip de l’agència, mentre que altres es van dedicar a escriure les seves observacions a les pissarres públiques. Aparentment, un venedor es va oposar a situar-se a prop de l'estand de la NSA, mentre que un altre va aprofitar l'ocasió per publicar vídeos sobre Snowden.

Alguns oradors van manifestar les seves presentacions en protesta i van organitzar un esdeveniment competitiu d'un dia anomenat Trustycon. Això va ser per ajudar a sensibilitzar sobre els problemes de privacitat, tot i que algunes persones ho veien diferent.

Xina Qui?

L’any passat, el jutjat de capçalera situat al llit de tothom era la Xina. La por entre els interiors de la indústria era que els atacants de la Xina patrocinessin els estats o robessin propietat intel·lectual o bé venent-la o donant-la a competidors xinesos. També es va produir l’amenaça de ciberguerra entre les nacions, que es va fer encara més real mitjançant informes continuats de sofisticades amenaces persistents avançades.

Avança ràpidament enguany i les preocupacions són més delicades. Els oradors van mencionar el "robatori de propietat intel·lectual", però no van veure la necessitat de dir qui hi havia al darrere. Quan l'any passat es van esmentar atacs de "estat nació" gairebé amb tota seguretat significava "Xina", però enguany podria significar fàcilment "Estats Units d'Amèrica".

Deu coses

Fora d’aquestes grans històries, hi hagué alguns desenvolupaments prometedors, noves tecnologies i assessorament real i realitzat a RSA. Primer i abans que res? Pegau el vostre programari. També hi va haver molts venedors desitjats de moure les contrasenyes anteriors, que esperem que es produeixin aviat. A més, espero que tots feu la lectura abans del programa de l’any vinent.

Aquestes van ser algunes de les grans històries que els experts de seguretat discuteixen, però no són les úniques. Aquestes són les nostres deu grans idees que estan passant en seguretat ara mateix.

1 10. Aire lliure en xifrat

L'Agència de Seguretat Nacional va estar al cap de tothom en la conferència d'aquest any i ha estat la història de seguretat més gran de l'any passat. Tot i que la Conferència RSA és una entitat diferent de l’empresa RSA Security, la suposada connexió multimilionària entre RSA i la NSA va ser un tema freqüent de discussió. El president de RSA, Art Coviello, va desestimar les denúncies en la seva intervenció principal, però va demanar reformes a l'agència d'espionatge. En fort contrast amb l'any passat, els temors sobre la Xina van tornar a seure davant la preocupació perquè pot ser que el xifrat no sigui tan segur com pensàvem.



2 9. Paraules clau de paraules que maten

Una vegada que una paraula arriba a l'estat de paraula clau, deixa de significar qualsevol cosa útil. Malauradament, hi va haver un munt de paraules com aquesta a RSAC, on tothom utilitzava les mateixes paraules, però ningú no estava d’acord en la definició. Quan es tracta d’intel·ligència d’amenaça, parlàvem d’indicadors de compromís o parlàvem d’enriquir dades existents amb fonts de tercers? Què vol dir exactament "gen-proper"? Arribats a aquest punt, hauríem de trobar-nos al següent. Com poden produir tants productes com una revolució de la seguretat? La indústria fins i tot sap què promet?

Imatge via Soumyadeep Paul de l'usuari de Flickr



3 8. Quan ataquen torradores, cotxes i màquines de cafè

Internet of Things va entrar a la Conferència RSA d’enguany i tothom està preocupat per la perspectiva d’assegurar-los. La presa de coses clau, força angoixant, és que encara no estem preparats per protegir tots els nostres dispositius, ja siguin electrodomèstics, dispositius mèdics o cotxes. Tot i així, alguns no es van preocupar, dient que els delinqüents no podrien intentar controlar de forma remota ni xocar amb un cotxe connectat. Seria més probable que els delinqüents anessin "aigües amunt" per comprometre els servidors que utilitzen les coses (com ara els servidors OnStar per als cotxes) i obtenir beneficis monetaris.

L’Internet de les coses sens dubte augmentarà cada cop més a mesura que es connecten més dispositius. Després de Heartbleed, els investigadors no es van preocupar només per servidors sinó per qualsevol dispositiu connectat.



4 7. Xifra tot

La resposta de tothom sobre com millorar la seguretat, sobretot la seguretat mòbil, va ser el xifrat, el xifrat, el xifrat. Les aplicacions per a mòbils mouen una gran quantitat d'informació a Internet i molts desenvolupadors opten per no xifrar aquestes transaccions, donant-li molt als atacants i els estats nació. De nou dirigint-se a la NSA, el CTO de Co3, Bruce Schneier, va plantejar que l'agència ha trencat alguna forma de xifratge, però no pot processar quantitats immenses de dades xifrades. Va dir que la gran quantitat d’informació no xifrada que volen és simplement facilitar que algú que busqui emmagatzemar dades. Al febrer, les preocupacions sobre el xifrat es basaven en vulnerabilitats creades per NSA i problemes de SSL d’Apple. L’anunci de Heartbleed és un recordatori sobresalt que fins i tot les millors eines que encara no som perfectes.

Imatge mitjançant compte anònim per a usuari de Flickr

• 5 6. No hi ha bales de plata

  Vam dedicar molt temps a parlar de presentacions i particulars a RSAC, però no hem d’oblidar que l’esdeveniment és una fira i que el show floor està ple de venedors treballant per convèncer els compradors que el seu producte és el millor. Sorprenentment, moltes empreses de seguretat seguien pressionant la idea de les bales de plata: una solució única per a tots els vostres problemes de seguretat. Això és una mica sorprenent, ja que l'any passat ha demostrat que hi ha nombroses vies d'atacs i que poden diferir en funció de qui hi ha al darrere i de què es troben. El vicepresident sènior d'HP, Art Gilliland, va suggerir que les empreses deixessin de buscar noves armes i adopten un enfocament més holístic de la seguretat. És més important en la seva llista de millores? Invertir en persones i millorar la formació en seguretat.



6 5. L'AV Mobile no funciona

Tot i que celebrava la comunitat de seguretat treballant amb i dins d'Android per millorar-la, Google Lead Engineer per a Android Security va tenir una visió tènue de la seguretat mòbil fins ara. Va dir que l'objectiu de Google era proporcionar una seguretat tranquil·la i invisible i va suggerir que les empreses de seguretat tractessin més d'atendre l'atenció i augmentar les vendes. El conseller delegat de viaForensics i el cofundador Andrew Hoog també van tenir problemes amb els models de seguretat tradicionals al mòbil. Va assenyalar que la caixa de sorra d’aplicacions en sistemes operatius mòbils fa un bon treball per protegir aplicacions, però també limita la capacitat de les aplicacions de seguretat per fer front a les amenaces. La seva solució? Doneu als desenvolupadors de seguretat accés als privilegis de root.

No estic d’acord del tot amb les dues posicions, però l’amenaça de les amenaces mòbils exigeixen noves maneres de protegir els dispositius. No és suficient protegir contra les aplicacions malicioses i, tot i que les eines que les companyies de seguretat estan afegint a les seves aplicacions mòbils són útils, no seran suficients per a sempre.

Imatge via usuari de Flickr Tiago A. Pereira



7 4. Seguretat al seient del conductor

Parlem molt de com la seguretat ha de formar part de l’ADN de l’organització i de com els equips de seguretat no poden reaccionar només a les crisis o en mode de lluita contra incendis tot el temps. El consens general sembla estar per davant de les amenaces, ja sigui per tenir millors pràctiques de seguretat per tancar les vies d’atac o integrar-se amb altres equips per assegurar-se que les inquietuds de seguretat es plantegen des del primer moment.



8 3. Necessitem més gent en seguretat

Una de les coses de les quals vam escoltar era com hi havia una escassetat de professionals de la seguretat. Les empreses que tradicionalment no havien de pensar en seguretat, protegir les seves dades o assegurar-se que els seus productes eren segurs, ara lluiten per trobar professionals de la seguretat experimentats. Les agències governamentals estan intentant atraure els hackers més brillants per omplir les seves files. Hi ha un desfasament de competències, parcialment perquè no tenim prou gent especialitzada en seguretat, sinó també perquè les empreses no fan una bona contractació.

Necessitem més dones en tecnologia i en especial la seguretat de la informació. Les sessions de RSAC es van centrar a crear estructures de suport per animar les dones interessades en la infosec, però també per posar en relleu algunes de les seves realitzacions.



9 2. Les aplicacions més escasses són pitjors que el programari maliciós mòbil

La defensa contra el programari maliciós continua essent un focus per a moltes empreses de seguretat mòbil, però aquesta no és, ni de lluny, l’única amenaça. Molts assistents a la conferència RSAC van suggerir que les aplicacions amb filtracions, és a dir, les aplicacions que transmeten dades personals dels usuaris sense xifrar o en quantitats enormes, són una amenaça molt més gran per als usuaris. Per als lectors de la nostra cobertura de Mobile Threat Monday, això no ha de sorprendre. Enguany esperem noves eines com viaProtect per ajudar els consumidors a veure què fan realment les seves aplicacions. Dit això, veure que algú es va separar, modificar i tornar a empaquetar una aplicació Android en cinc minuts és un recordatori que el malware encara és un problema.

Imatge via usuari de Flickr Grotuk

• 10 1. La vigilància no desapareix

  El director recent del FBI, James Comey, va deixar clares dues coses en la seva presentació RSAC 2014: L'FBI necessita la cooperació empresarial per lluitar contra les amenaces cibernètiques, però la vigilància electrònica és aquí per mantenir-se. En un mateix nivell, tots ho sabem. No podem esperar que espies i policia continuïn tocant telèfons quan els dolents es comuniquen amb correu electrònic i altres eines. Com a societat, hem d’acceptar que les comunicacions digitals són una diana, i potser una legítima. De la mateixa manera, els col·legues en una fascinant taula rodona d'intel·ligents intel·ligents nord-americans van subratllar que la NSA no és una "agència canalla" i que tots els altres estats nacionals participen en la vigilància electrònica. També van dir que l’espionatge domèstic necessita assolir un millor equilibri amb la privacitat i que la gent no hauria de permetre als funcionaris electes utilitzar la seva “història de cobertura” de versemblant desconfiança per a les operacions d’intel·ligència.