RSAC 2018: ¿Qué curso tomará la industria de la Seguridad Informática este año?

Uno de los eventos anuales más determinantes para la industria de la seguridad informática tuvo lugar en San Francisco la semana pasada. Nos referimos a la conferencia anual RSA Conference 2018, cuyo origen data de 1991, cuando comenzó como una pequeñísima conferencia de criptografía, organizada por la compañía RSA (acrónimo de Rivest, Shamir y Adleman, inventores del sistema criptográfico de llave pública RSA, desarrollado en 1977. Este algoritmo se usa tanto para cifrar como para firmar digitalmente) y que este año celebró su vigésimo séptima edición.

[Columna por nuestra Security Researcher, Daniela Carmona]

Más de 700 speakers ofrecieron alrededor de 550 sesiones, y más de 650 compañías estuvieron presentes, sumando un total de 42.000 profesionales de la industria.

Si bien las cifras en torno a RSAC son impresionantes, éstas son sólo una enorme simplificación de una industria que crece a pasos agigantados, y junto a esto, se torna más y más compleja, con la diaria emergencia de nuevas tecnologías y sus correspondientes nuevas amenazas, y por ende, nuevas necesidades en términos de aseguramiento de la información. Recordemos que según Cybersecurity Ventures, para el año 2021, el daño provocado por el ciber crimen se estima en 6 trillones de dólares! Esto es alrededor del 10% de la economía mundial!

Los grandes temas de RSAC 2018

En la conferencia, todas las grandes empresas de tecnología, ciertos actores gubernamentales y expertos del mundo académico estuvieron presentes aportando la visión de sus expertos y representantes, marcando así los caminos de una industria que se vuelve el centro de atención en esta nueva era, en la cual la información es el bien más valioso y más abundante.

Los temas más esperados y discutidos este año guardaron relación con:

  • La implementación de la General Data Protection Regulation (GDPR) Compliance, que comenzará a regir en la Union Europea en mayo de este año y que se proyecta como LA gran fuerza catalizadora de cambio para la industria, dado que todas las compañías que operen en la UE (ya sabemos que el mundo digital no tiene fronteras) deberán adscribirse a este nuevo estándar
  • Inteligencia Artificial y modelos de Machine Learning, considerando que es un cambio de paradigma que impactará a todos los aspectos en los cuales la tecnología esté implicada
  • Blockchain, que fue uno de los temas más controversiales durante la conferencia. Intentando recapitular, mi opinión es que la industria se mueve hacia esta tecnología con cierta incertidumbre y cautela respecto del hype generado en torno a ella, lo que es bueno. Esto permite tomarse un tiempo, desde el punto de vista de la infosec, para evaluar los riesgos que esta nueva forma conlleva y así generar soluciones más completas. Lo más probable es que Blockchain siga siendo un tópico de análisis mayor para RSAC 2019.
  • Cyberwarfare, especialmente considerando el escenario político actual.
  • Cloud Security, recordándonos que las transformaciones digitales requieren un traspaso completamente informado (y correctamente asegurado) hacia la computación en la nube
  • Identidad Digital, una realidad que se debe afrontar de la forma mas segura: Autenticacion Multifactorial (MFA), métodos mas seguros para loguearse, rotación de contraseñas, seguridad en accesos de cuentas para bases de datos, etc. Identidad y Administración del Acceso (IAM) y la creación de la “gobernanza” más inteligente en torno al tema
  • UBA (User Behavior Analytics; Análisis de Comportamiento de Usuarios), ya que juega un gran rol en la detección de amenazas en torno a la IAM
  • Nuevas amenazas, un tema siempre presente en las conferencias de seguridad de la información
  • Estado de la Industria, en una era en la cual la automatización exige 1. Más representación y diversificación 2. Liderazgo más efectivo, cognitivo y colaborativo, tanto entre humanos como entre humanos y máquinas 3. Más profesionales!
  • Dark Web y sus coletazos respecto de la seguridad de la información

Las tendencias de la industria para este 2018

  • No más temas de seguridad aislados: actores emergentes en la industria suelen intentar resolver problemas específicos en torno a la seguridad, pero de acuerdo a Adam Bosnian de CyberArk, los clientes están optando por oferentes capaces de resolver problemas en una multitud de ambientes relacionados con la seguridad en vez de lidiar con múltiples empresas que se dediquen a temas específicos cada una
  • La Seguridad Defensiva ya no es suficiente. Las organizaciones buscan mejorar sus estrategias de ciber seguridad incluyendo asuntos como la mitigación de daños y continuidad de negocios, de acuerdo a Julian Martin, de Mimecast, quien opina que las empresas comienzan a adoptar productos que mitiguen los riesgos surgidos de la disrupcion de operaciones.
  • Orquestación en torno a la seguridad informática, de modo de incorporar a la seguridad informática en la forma de hacer negocios.
  • Insertar prácticas de desarrollo seguro en la ecuación Devops. Scott Whitehouse, de CyberArk opina que es menester abordar los riesgos de producción de código apresurada y asegurarse de que los modelos de programación sean más seguros. 
  • La administración de vulnerabilidades se vuelve a tornar importante. Scott Todaro de Recorded Future dice que las compañías que estén constantemente reaccionando a amenazas de seguridad se van a ir enterrando cada vez mas en un agujero mas profundo. Sin embargo, las herramientas para manejar las vulnerabilidades se vuelven cada vez mas efectivas, permitiéndole a las personas obtener un mejor entendimiento respecto de las técnicas que los actores maliciosos intentan explotar.
  • De la prevención a la detección: Cada vez más las compañías son conscientes de la necesidad de implementar un plan para cuando sus barreras son rotas. Israel Barak, de Cybereason, dice que hasta ahora, la mayoría de las organizaciones se han ocupado de orientar su estrategia de ciber seguridad alrededor de construir capacidades preventivas para denegar acceso a los adversarios, pero ahora los negocios se dan cuenta de que requieren de planes de resiliencia y protección más profunda. Por ende, los proveedores de soluciones deben ir más allá del cumplir con los estándares y hacia cómo manejar el riesgo, dado que la industria está moviendo su foco hacia permitir a los usuarios detectar las amenazas lo más temprano posible y luego poder implementar un programa de respuesta adecuado
  • El auge de los “Hackers Capitalistas Maliciosos”: La industrialización de los ataques informáticos. El surgimiento de las hacking-tools, programas para facilitar los ataques informáticos, permite que ya no haya que tener superhabilidades técnicas para lograr acceso a información privada. Con el surgimiento del Ransomware-as-a-Service, cualquier persona con acceso a estas herramientas y con malas intenciones puede causar daño. “Son criminales, sólo quieren dinero”, dijo Dan Schiappa, de Sophos. “La productizacion de las herramientas de hacking ha sido vital en el auge del “hacker capitalista”, lo cual es un gran cambio respecto de media década atrás, cuando las organizaciones estaban mas preocupadas de los hacktivistas, como Anonymous”. Estas herramientas de hacking son sencillas de utilizar e incluso son enseñadas en cursos de certificación de “hackers éticos” acá en Chile.
  • Asegurar tareas automatizadas. Más y más tareas que solían estar a cargo de humanos se van automatizando, pero estas tareas son tan vulnerables como lo sería un humano, según Udi Mokadi, de CyberArk. Como resultado de esto, los ciberdelincuentes van tras las aplicaciones automatizadas que hubiesen requerido controles de acceso mayores si un humano hubiese estado detrás de esas tareas.
  • Usar el conocimiento surgido de las constantes amenazas para saber cuáles son las prioridades en torno a la Seguridad Informática. Christopher Ahlberg, de Recorded Future dice que los negocios están atascados con tecnología que no es la de punta en sus ecosistemas, y puede ser desafiante aplicar técnicas modernas en aquellas compañías y por ende, los negocios buscan tecnología que les permita automatizar y priorizar la defensa basadas en inteligencia, dado que esto puede ayudar a las empresas a determinar qué actualizaciones de tecnología son realmente necesarias.

El clásico Criptographers Panel

Siendo RSAC una conferencia que surgió en torno a la criptografía, el panel que más representa esta conferencia es el Panel de los Criptógrafos, en donde se reúnen los fundadores de RSA junto a otros expertos marcianos y nos otorgan su opinión respecto del futuro de la industria. “Puedes tener seguridad o puedes tener velocidad, pero no puedes tener ambos”, dijeron por ahí. Paul Kocher manifestó su pesimismo en torno al intercambio entre performance y seguridad, pues según él, “cuando la tecnología ha sido optimizada para ser rápida, la seguridad se vuelve un objetivo secundario”. Kocher es el autor del estándar de seguridad SSLv3 y uno de los descubridores de Spectre.

Respecto de Blockchain, la R de RSA, Ron Rivest, dijo que blockchain es visto por algunos como “polvito de hadas”, pero que tiene poca utilidad real. La S de RSA, Adi Shamir opinó que el blockchain podría ser útil en un mundo criptográfico postcuántico en donde un computador cuántico pueda romper la encriptación RSA. La naturaleza multidistribuida de blockchain es su valor primario, aportó Moxie Marlinspike, fundador del protocolo de encriptación de mensajes que utiliza Signal. Pero añadió que para la mayoría de las aplicaciones, la computación distribuida no es una propiedad necesaria.

Facebook y sus retos en torno a la privacidad también ocuparon tiempo en la discusión. Kocher opinó que la compañía tomaba decisiones que la beneficiaban a ella en vez de a sus usuarios. “Es de su interés tomar ventaja de los datos que colectan”.

En general, los criptógrafos no tuvieron una conversación muy optimista. “Lo bueno es que tendremos trabajo asegurado”, concluyó Shamir. A naaaada…

 

El Innovation Sandbox Contest y sus ganadores: BigID

En sus 13 años de existencia, el concurso se ha convertido en la plataforma líder para que empresas en el mundo de la InfoSec lancen sus investigaciones y productos. De hecho, dentro de los últimos 5 años, los 10 finalistas del concurso han obtenido, en conjunto, más de US $1,25 mil millones en inversiones y han sido objeto de 15 adquisiciones.

BigID es una compañía de software estadounidense-israelí centrada en la privacidad y la protección de datos personales que utiliza técnicas avanzadas de Machine Learning e Inteligencia de Identidad para ayudar a las empresas a proteger de mejor forma los datos de sus clientes y sus trabajadores a la escala de los petabytes. Los jueces del concurso colectivamente decidieron que el problema establecido que aborda BigID representa la mayor oportunidad de mercado. La plataforma tecnológica de BigID ayuda a las organizaciones a descubrir información personal identificable de datos estructurados y no estructurados, para ayudar a las compañías a encontrar estos datos y poder protegerlos, al tiempo que garantiza el cumplimiento corporativo de los nuevos derechos de datos personales y obligaciones consagradas por regulaciones como la GDPR. «BigID tiene la capacidad de ver la información privada en un contexto más amplio que el que históricamente tenían las personas», dijo Paul Kocher (el mismo del Criptographer’s Panel, creador del SSLv3).

Los Premios Anuales de la RSA Conference

Desde hace 21 años, la RSAC reconoce las contribuciones extraordinarias de individuos y organizaciones, cuyos esfuerzos dan forma a la industria.

  • Premio a la Excelencia en el Campo del Servicio Humanitario para Tim Jenkins, Oficial de Comunicaciones del Congreso Nacional Africano, ex prisionero político cuyos logros en el ámbito de la justicia social no tienen paralelo. Jenkin y su equipo son venerados por la creación de un ingenioso sistema de comunicación que permitió a los operativos de Vula penetrar en secreto las fronteras de Sudáfrica, en última instancia, contrabandeando mensajes al entonces preso Nelson Mandela. Debido a las circunstancias en el momento, a mediados de la década de 1980, Jenkin y su equipo no podían usar software criptográfico comercial o de código abierto. Como era demasiado complejo construir su propio sistema de clave pública, optaron por una versión computarizada del sistema de libreta de un solo uso. Este sistema, junto con una forma de enviar mensajes electrónicamente, fue esencial para terminar con el apartheid sudafricano. Jenkin encarna el colmo del humanitarismo, ya que puso su vida en peligro para crear un mundo mejor para los oprimidos.
  • Premio a la Excelencia en en Campo de la Seguridad de la Información para Michael Assante, puesto que en los últimos 15 años, este experto en seguridad y líder del currículo en el Instituto SANS, ha proporcionado una valiosa guía a organizaciones gubernamentales, de inteligencia, militares e industriales para ayudar a proteger la industria de la energía a gran escala y otros sistemas comerciales de las intrusiones maliciosas perpetradas por delincuentes, terroristas y estados nacionales. Se desempeñó como CSO de American Electric Power y The North American Electric Reliability Corporation, así como estratega en Idaho National Labs, donde dirigió al equipo que descubrió el mecanismo mediante el cual los ataques remotos podían dañar físicamente los equipos utilizados en los procesos industriales. Como miembro de la Comisión de Seguridad Cibernética de Estados Unidos bajo Barack Obama, Assante también encabezó el equipo técnico de sistemas de energía que ayudó a Ucrania a lidiar con los efectos de los ataques remotos en la red eléctrica del país. Assante fue galardonado con el Premio al Logro Sobresaliente por la Conferencia RSA en 2005 en la práctica de la seguridad dentro de las organizaciones.
  • Premio a la Excelencia en el Campo de las Matemáticas al Profesor de Ciencias de la Computación, Ran Canetti de la Universidad de Boston y al Profesor de Ciencias de la Computación y Matemáticas, Rafael Ostrovsky de la UCLA, por su novedoso e influyente trabajo sobre Nuevos Modelos y Nociones de Protocolo para Tareas de Computación Segura. Su experiencia combinada desarrollando problemas novedosos, modelos y nociones fundamentales, abrió la puerta a múltiples direcciones nuevas en la criptografía. Conjuntamente, hicieron contribuciones esenciales a la seguridad proactiva, protocolos eficientes de conocimiento-nulo, esquemas de firmas novedosos y esquemas de cifrado con propiedades adicionales, incluido el cifrado negable. El profesor Canetti hizo contribuciones cruciales a la Capacidad de Compilación Universal, a las limitaciones del Modelo de Oráculo Aleatorio y la función HMAC. El profesor Ostrovsky mejoró el cifrado en nuevas direcciones para la Big Data, incluyendo el Oblivious RAM y sus aplicaciones, Encriptación con búsqueda de palabras clave en textos cifrados, Recuperación de información privada para un solo servidor y búsqueda y procesamiento eficiente de datos encriptados en la nube con sólidas garantías de privacidad. Hermoso y desconocido.
  • Premio a la Excelencia en el Campo de las Políticas Públicas al Admirante Michael Rogers, de la Armada de los EEUU. Desde 2014, el almirante Michael Rogers, de la Armada de los Estados Unidos, se ha desempeñado como Director de la NSA y Comandante del Comando Cibernético de EEUU, donde desempeña un papel fundamental en la construcción de la unidad de guerra cibernética militar. Durante la Operación Libertad Iraquí en 2003, el Almirante Rogers administró la cartera de inteligencia para el Estado Mayor Conjunto, especializándose en ataques a redes informáticas. En 2009, se convirtió en director de inteligencia de ese mismo cuerpo de miembros uniformados del Departamento de Defensa de los EE UU y pronto se convirtió en comandante del Comando Cibernético de la Flota de los Estados Unidos, supervisando los esfuerzos de guerra cibernética de la Armada. Conocido por su liderazgo audaz y franco y por su largamente condecorado mandato de 30 años en la Marina, el almirante Rogers es muy respetado por sus logros vitales en la protección de Estados Unidos contra los ciberataques, tanto nacionales como extranjeros.

¿Qué se debe mejorar?

Este año vio el nacimiento de una conferencia paralela a RSA Conference. OURSA (que suena, en inglés, muy parecido a RSA, y es acrónimo de Our Security Advocates), conferencia de un día y que reunió a unas 250 personas (se recibieron más de 10 propuestas de charlas y las entradas se agotaron en sólo 12 horas), surgió hace dos meses, después de que RSAC anunciara a los keynote speakers. De las 20 grandes conferencias, sólo había una mujer: Monica Lewinsky, quien presentaba una charla no-técnica. En twitter comenzaron a moverse y en 5 días nació OURSA, en la cual cada speaker provenía de algún sector bajamente representado en la industria de la ciberseguridad.

Como en muchas otras industrias, en la de la seguridad de la información existe una tremenda falta de mujeres. La industria se beneficiaría enormemente con el input que podría aportarle el conocimiento, formas y perspectivas que generan mujeres. Además, recordemos que, en general, un poquito más del 50% de los usuarios finales son mujeres (excepto, probablemente, en la China). Sabemos de la gran brecha que hay en las STEMS entre representantes masculinos y femeninos. Una instancia tan potente como RSA Conference podría decidir ser un catalizador de la renovación de un sector que se ha quedado en el pasado en términos de humanidad (eso del machismo es cosa del pasado, no?) pero mantienen el status quo al no reconocer a los pares de la industria cuyos órganos reproductivos están mas contenidos. Recordemos que sólo en 2015 se prohibió el uso de “booth babes” en RSAC. Después de que emergiera OURSA y que la situación causo todo el revuelo, RSAC agregó 5 mujeres en su lista de keynote speakers.

Por otra parte… Es sabido que en 2014 Gunter Ollman descubrió que la aplicación móvil de RSAC presentaba al menos 6 fallas de seguridad. Entre otras cosas, era vulnerable a ataques Man-in-the-Middle, en la cual el atacante podía incluso inyectar código adicional en la secuencia de login y phishear credenciales. Esta vulnerabilidad no era de tan alto impacto, pues había sido descargada no taaantas veces. Sin embargo, la aplicación creada por QuickMobile descargaba, además, un archivo de bases de datos SQLite que contenía, dentro de otra información útil para su propósito, también, la información de cada usuario registrado en la aplicación: nombre, apellido, puesto de trabajo, empleador y nacionalidad. Un completo despropósito!

Pues bien, la versión 2018 de la app fue desarrollada por Eventbase Technology y en esta ocasión, fue @svblxyz el encargado de exponer públicamente las fallas. Fallas no menores en términos de desarrollo: claves de seguridad y contraseñas hard-codeadas que permitían extraer una lista de asistentes a la conferencia. Para ello era necesario registrar una cuenta como usuario de la aplicación (con sólo tu dirección de correo), loguearse en ella y luego, obtener un token de un archivo XML almacenado por la aplicación, que otorgaba los nombres de los asistentes. Si bien la base de datos SQLite descargada estaba encriptada, otra API call otorgaba la llave de encriptación. Había otra base de datos SQLite que podía ser obtenida desde la API de la aplicación y que no estaba encriptada, que contenía información más detallada: nombres, direcciones, números telefónicos, nombres de las compañías y links a cuentas de redes sociales, pero aparentemente sólo contenía datos de los speakers y de los vendors. Una historia digna del Cura Gatica!

 

¿Más Información?

La verdad es que intentar resumir lo que fue RSA Conference 2018 implica dejar afuera chorrobytes de información. Esta conferencia nos estará dando de que hablar hasta agosto, cuando sea el tiempo de DEFCON y Blackhat, instancias en las cuales se revelen los trabajos  de nuestros colegas investigadores. No puedo finalizar el artículo sin instarlos a navegar la internet y los mismos recursos que entrega RSAC. Muchísimas de las sesiones están grabadas y disponibles para todos. Especial mención tienen los 17 keynote speeches de este año, en donde los líderes de la industria deciden el curso de ésta para 2018.