Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Las dependencias entre sistemas amenazan la seguridad: Dan Geer, Black Hat 2014

Durante Black Hat 2014, Dan Geer dijo que limitar las dependencias entre sistemas es la única esperanza para gestionar la complejidad de los riesgos.

LAS VEGAS - Dan Geer, quien se hizo famoso hace una década por criticar el casi monopolio de Microsoft en el escritorio exponiéndolo como un riesgo de seguridad inherente, dio inicio al evento anual Black Hat en Las Vegas con una ponencia que presentó provocativas sugerencias para cambiar de manera fundamental los enfoques de seguridad informática, tanto de los gobiernos como de la industria de la seguridad.

Tomando nota de que la seguridad informática ahora se discute a un alto nivel de gobierno, Geer, quien se desempeña como CISO de In-Q-Tel, una empresa sin fines de lucro que apoya a la comunidad de inteligencia de Estados Unidos, dijo que cuando los profesionales de la industria hablan sobre la política de la seguridad cibernética, ya no están participando en un juego de salón.

"Una vez que un área temática como la seguridad cibernética queda entrelazada con casi todos los aspectos de la vida de casi todo el mundo, el diferencial entre el resultado de buenas políticas y las malas políticas se ensancha y la facilidad de encontrar respuestas se reduce", dijo Geer.

La vasta conferencia de apertura de Geer incluyó la especulación sobre la capacidad del gobierno para montar operaciones de vigilancia a escala global y si esto podría cambiar el equilibrio relativo de poder entre las ramas legislativa y ejecutiva del gobierno de Estados Unidos. Su creencia era que las capacidades de vigilancia avanzadas aumentan el poder de la rama ejecutiva, ya que, en su opinión, el control legislativo emana de la capacidad de controlar la asignación presupuestaria. Si los esfuerzos de vigilancia son "demasiado baratos para medirlos" los legisladores no podrán controlarlos.

Una preocupación que subyace en la charla de Geer fue la creciente complejidad de una internet que está aumentando rápidamente su superficie de ataque –en especial cada vez que un nuevo elemento de la internet de las cosas (IoT), se añade a la mezcla. La única salida para la construcción de sistemas que resultan más complejos de lo que se puede administrar, dijo Geer, es tomar un enfoque pragmático sin rodeos, "salpicado de política real" y prepararse para parchar los sistemas integrados con regularidad y poner límites a la complejidad de ser posible.

En última instancia, Geer ofreció una serie de medidas propuestas que aumentarían la seguridad y privacidad de la Web. Algunas de estas medidas probablemente no fueron particularmente controvertidas entre la audiencia: Pidió que las autoridades impongan más agresivos para la presentación de informes de fallas de seguridad cibernética, y la cargó contra el desarrollo de capacidades de seguridad ofensiva que permiten a las organizaciones atacar a sus atacantes.

Entre sus sugerencias más polémicas, Geer propuso que los proveedores de software se ven obligados a elegir entre hacer que todo su código fuente, así como el entorno de desarrollo y de información de la biblioteca, estén disponibles o aceptar toda la responsabilidad por daños y perjuicios en los que se incurren cuando los usuarios "utilizan normalmente" un producto.

"Para bien o para peor, los únicos dos productos que no están cubiertos bajo la responsabilidad de los productos son la religión y el software", dijo Geer. "Y el software no debe escapar a esto por mucho más tiempo."

Geer trató de ofrecer un ejemplo de uso normal en la forma de un vendedor hipotético de un proveedor empresarial que ofrece nueva documentación del producto en una llave USB.

"Usted lo conecta a su equipo de cómputo y copia los archivos. Eso es lo que significa usarlo normalmente, y nunca debería provocar que el equipo se convierta en parte de una botnet, transmita su número de tarjeta de crédito a Elbonia, o copie todos sus documentos de diseño para el vendedor, "dijo Geer. "Si lo hace, el sistema operativo de su computadora es defectuoso."

Geer se pronunció, “después de un poco de palabrería sobre la cuestión", a favor de la nueva regulación europea sobre el derecho al olvido, sugiriendo que, según lo previsto por la Unión Europea, en realidad no es suficientemente amplia. Él, además, sostuvo que "una identidad digital única, no falsificable, no es una ganga y no quiero una. Quiero elegir si debería hacer una representación errónea de mí mismo. Rara vez puedo hacerlo, pero es mi derecho. Si eso se desvanece en el panóptico, entonces he perdido algo, y en mi opinión habré ganado casi nada".

Quizás la sugerencia más provocativa era que los EE.UU. deben "acaparar el mercado de las nuevas vulnerabilidades descubiertas" que hace referencia al robusto mercado subterráneo para vulnerabilidades de día cero encontrados por los investigadores de seguridad. El gobierno, dijo, debe pagar 10 veces lo que nadie paga y debe publicar las vulnerabilidades después de su obtención como una forma de neutralizar su efectividad.

"Durante mucho tiempo he preferido contratar gente de seguridad que eran, más que cualquier otra cosa, más tristes pero más sabios. Ellos y sólo ellos saben por qué la mayoría de lo que tiene éxito en el mercado, tiene éxito sólo mientras los atacantes no le dan su atención. Y lo que falla en el mercado no se debe a que no funcionaba, sino a que no era fácil o sexy o lo suficientemente barato.”

Esta experiencia del mundo real, sin embargo, "sólo viene de personas que han experimentado tragedias privadas. Nadie ha experimentado el fracaso en la escala que estamos hablando ahora. No hay gente que sea más triste pero más sabia sobre lo que sucede cuando se conecta todo a todo."

Geer anotó un punto al decir que sus temas de discusión y recomendaciones no se basan en el conocimiento de la industria desde la perspectiva interior, haciendo referencia a sus vínculos con la comunidad de inteligencia. Más bien, según él, la información que está ampliamente disponible a través de fuentes abiertas es cada vez mejor, casi tan buena como la de quien tiene una visión interna.

"Si el principal beneficio de una autorización [de seguridad] es ser capaz de ver el futuro un poco más allá que quienes no tienen esta autorización, entonces lo que sigue es que, conforme el ritmo del cambio se acelera, la diferencia entre la distancia visible para un interno frente a lo que puede ver un externo sin autorización se reducirá".

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close