Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

RSA 2014: Coviello le resta importancia a la relación entre RSA y la NSA

"Si no podemos estar seguros de con qué parte de la NSA estamos trabajando y cuáles son sus motivaciones, tal vez no deberíamos trabajar con la NSA" - Arthur Coviello.

SAN FRANCISCO – Gran parte de la expectación levantada por la Conferencia RSA 2014 giraba en torno a una pregunta: ¿El discurso de apertura del presidente ejecutivo de RSA, Arthur (Art) Coviello, abordaría las acusaciones de que su firma de manera inapropiada trabajó con la Agencia de Seguridad Nacional de Estados Unidos (NSA) para debilitar los productos de criptografía de RSA?

En su discurso el martes pasado, Coviello no pasó por alto ese elefante en la sala, es decir, el informe de diciembre en el que Reuters indicaba que la división de seguridad de EMC Corp. aceptó un pago $10 de millones de dólares de la NSA para hacer un algoritmo de generación de números aleatorios débiles, conocido como criptografía de curva elíptica (ECC), el producto base en su línea de productos de cifrado Bsafe.

Rememorando los días en los que la RSA “liderara los enfrentamientos" contra el gobierno de E.U. sobre asuntos tales como el controversial chip Clipper, Coviello dijo que la compañía y su conferencia insignia de seguridad ahora estaba situadas al otro lado de la mesa, gracias a la controversia de la NSA. Gran parte de la tormenta que rodeaba las acusaciones de ECC, según Coviello, se ha basado en falsas percepciones.

Coviello dijo que después de que los controles de exportación de criptografía, que afectaron tan negativamente a RSA desde los años 90, fueron mejorados cerca del cambio de milenio, gran parte del mundo ya había implementado el algoritmo RSA a través de juegos de herramientas de código abierto. RSA se adaptó a esa realidad al apoyar una serie de iniciativas de estándares de cifrado, incluyendo los regulados por el Instituto Nacional de Estándares y Tecnología (NIST).

En el caso del soporte de RSA para la ECC, Coviello afirmó que la industria de seguridad en gran medida ya lo soportaba y que la aprobación del NIST fue aparentemente inevitable cuando la compañía lanzó su apoyo detrás del algoritmo en ciernes. En cuanto a por qué ECC se hizo el predeterminado en una serie de productos de seguridad de RSA pese a las afirmaciones de una puerta trasera potencial en el algoritmo que se remonta por lo menos al 2007, Coviello proporcionó una razón muy simple, basada en motivos financieros.

"El uso de este algoritmo por defecto en muchos de nuestros juegos de herramientas nos permitió cumplir los requisitos del gobierno", dijo Coviello. "En septiembre pasado, el NIST publicó nuevas directrices para frenar la utilización del algoritmo [con base en informes de una puerta trasera potencial]. Nosotros actuamos de inmediato por ese consejo y lo sacamos de nuestros productos."

Coviello también señaló que la relación entre RSA y la NSA se conoce de hace tiempo porque la empresa y muchos otros involucrados en la industria de la seguridad trabajan directamente con la Dirección de Seguridad de la Información (IAD), la rama de defensa de la NSA. La IAD es responsable de, entre otras cosas, proteer la infraestructura digital crítica.

Coviello dijo que muchos de los problemas de percepción en los últimos meses son el resultado de esta relación confusa entre los IAD orientados a la defensa y las empresas de tecnología, mientras que otras operaciones con la NSA involucran operaciones ofensivas y vigilancia generalizada.

"A pesar de estos hechos, cuando la NSA desdibuja la línea entre sus funciones defensivas y ofensivas, eso es un problema", dijo Coviello. "Si no podemos estar seguros de con qué parte de la NSA en realidad estamos trabajando y cuáles son sus motivaciones, tal vez no deberíamos estar trabajando con la NSA en absoluto."

Coviello dio su apoyo a la recomendación hecha por el grupo de revisión presidencial que detalla las actividades así como otras agencias de inteligencia del gobierno, sobre todo en lo que respecta a escindir la rama de la IAD por su cuenta. "Para crear una separación entre las capacidades ofensivas y defensivas de la NSA" hay que recorrer un largo camino hacia la reparación de la confianza entre la industria de la seguridad y el gobierno, dijo.

Denny Dean, un asistente al evento de RSA, proveniente de una empresa de seguros con sede en Massachusetts, dijo que estaba feliz de ver que Coviello "asestó un golpe" al tratar de responder a las preocupaciones sobre la NSA, aunque aún no está del todo seguro de lo que ocurrió entre la empresa y el agencia del gobierno después de la conferencia de apertura.

Dean dijo que RSA genera "buenos productos y servicios”, un hecho que no debe pasarse por alto en el debate actual entre los profesionales de la industria de la seguridad. "No creo que haya un problema en hacer negocios con RSA hoy", dijo Dean. "Desde una perspectiva práctica, probablemente no voy a huir de la empresa."

Charney, de Microsoft, responde a las solicitudes de datos a granel

Aunque Coviello de RSA bailó con delicadeza alrededor de la relación de la empresa con la NSA, Scott Charney de Microsoft decidió tomar el toro por los cuernos en su discurso en la Conferencia RSA.

De acuerdo con las filtraciones del contratista de la NSA, Edward Snowden, Microsoft fue uno de varios gigantes de la tecnología, junto con Google y Apple, que permitió el acceso de la NSA casi sin restricciones a los datos de los usuarios. Charney negó categóricamente cualquier caso de infracción por parte del gigante de software con sede en Redmond, Washington.

"Nosotros sólo respondemos a órdenes judiciales que especifican las cuentas particulares", dijo Charney. "Nunca hemos recibido ninguna orden para acceder a los datos a granel, y lucharíamos contra un pedido de datos en bloque.”

"Nosotros no ponemos puertas traseras en nuestros productos y servicios", continuó Charney, añadiendo que sería un "suicidio de mercado" si Microsoft lo hiciera.

Charney señaló que en su percepción tales declaraciones para aclarar la solicitud de la NSA por datos de Microsoft eran en gran medida innecesarias porque la organización es impulsada por "los principios de transparencia”. Estos principios, por ejemplo, significan que Microsoft divulga el código fuente de sus productos para su revisión a los gobiernos extranjeros preocupados por "puertas traseras americanas."

Kevin Hoffman, un ingeniero de monitoreo con el minorista al por mayor Costco y asistente al evento, dijo que no estaba sorprendido de que las alegaciones de la NSA aparecieran en los discursos, aunque no esperaba que la discusión dominara las conversaciones. Dijo que las filtraciones Snowden no eran particularmente impresionantes, porque ha trabajado bajo el supuesto de que el gobierno llevaría a cabo dichas actividades de vigilancia.

Hoffman dijo que nunca había oído hablar de los principios que Charney mencionó, pero que está "contento de que existan."

"Espero que Microsoft los siga como dicen que hacen. Nunca se sabe lo que pueden y no pueden decir, porque si están trabajando con el gobierno, hay ciertas cosas que no serían capaces de dar a conocer", dijo Hoffman. "Podrían luchar contra el gobierno, pero no serían capaces de luchar públicamente."

Microsoft, según Charney, ha cambiado de una manera significativa, debido a la información robada y filtrada por el ex contratista de la NSA, Edward Snowden. La empresa ahora con frecuencia escucha las preocupaciones de los clientes sobre sus servicios en la nube en el extranjero, respecto a dónde se encuentran sus datos, dijo, y la compañía ha respondido haciendo poco a poco más centros de datos disponibles en diferentes lugares alrededor del mundo.

"Estamos poniendo cada vez más atención a la ubicación de los datos", dijo Charney. "Los datos todavía viven en un lugar. Puedes dividirlos y moverlos, pero aun así están en alguna parte".

En la conferencia inaugural de la Cumbre de la Cloud Security Alliance, el ex zar de la ciberseguridad de Estados Unidos, Richard Clarke, dijo que este tipo de requerimientos para localizar los datos fueron impulsados ​​en gran parte por las preocupaciones económicas, a saber, permitir que los proveedores de servicios de nube puedan residir en el extranjero para ser más competitivos con las empresas estadounidenses , pero que la NSA y otras agencias gubernamentales pueden irrumpir en los servidores en cualquier lugar.

¿Cuál es el remedio?

Tanto Coviello como Charney pidieron el establecimiento de “normas” digitales, es decir, para establecer el derecho a la privacidad para los usuarios de internet, y el establecimiento de algún tipo de marco entre las naciones que rija las actividades cibernéticas de sus respectivas agencias de inteligencia.

Coviello dijo que cree que los gobiernos, la industria y los ciudadanos deben trabajar juntos para resolver estos problemas en crecimiento. En particular, dijo que la información personal se ha convertido en la "verdadera moneda de la era digital", y pidió que se adopten medidas para proteger la integridad y la privacidad de esa información.

Sin embargo, Coviello admitió que no es probable que esas medidas generales se apliquen en el futuro cercano. En lugar de esperar este tipo de acciones, dijo que en el ínterin la industria de la seguridad debe tener un papel más activo en la solución de estos problemas, con un ojo puesto en las ramificaciones futuras.

"Aunque tenemos que ayudar a los gobiernos a elaborar normas digitales, también es necesario desarrollar las capacidades necesarias para garantizar tales normas en el futuro", dijo Coviello. "Tenemos que hacer lo que hacemos mejor: desarrollar y aplicar las tecnologías que nos protegerán, ahora y en el futuro."

Investigue más sobre Protección de datos empresarial

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close