ivan arce
DESCRIPTION
Presentación de Ivan Arce en el Córdoba Tech Day.TRANSCRIPT
![Page 1: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/1.jpg)
Seguridad TICDesafíos y oportunidades para emprendimientos
de base tecnológica en Argentina
Iván Arce – Programa de Seguridad en TIC Fundación Dr. Manuel Sadosky
Córdoba Tech Day – 2 de septiembre de 2014
![Page 2: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/2.jpg)
Presentación…… - 2012 PROGRAMA STIC – Fundación Dr. Manuel SadoskyOrganización sin fines de lucro público-privada dedicada a promover, robustecer y articular las actividades de investigación, desarrollo e innovación en TIC entre el sector privado, sistema científico-tecnológico y estado argentino. http://www.fundacionsadosky.org.ar
2011-1996 CORE SECURITY TECHNOLOGIES – Fundador & CTOEmpresa de software y servicios de seguridad informática fundada en 1996 en Argentina. Primera en desarrollar software comercial para penetration testing (2002, CORE IMPACT)Hoy: 1600+ clientes en todo el mundo (NASA, Cisco, Apple, Chevron, Lockheed Martin,Raytheon, Boeing, Abbot, Pfizer, GE, Honeywell, AT&T, BT, Qualcomm, US FAA, US NRC…)150-200 empleados, centro de I+D en Buenos Aires, oficinas comerciales en Boston, EEUU. 9 patentes internacionales otorgadas, 100+ publicaciones técnicas, 100+ vulnerabilidadeshttp://www.coresecurity.com2014-2003 IEEE Security & Privacy Magazine – Editor Asociado / Miembro del Consejo EditorialRevista especializada en seguridad y privacidad de la Sociedad de Computación del IEEEhttp://www.computer.org/portal/web/computingnow/securityandprivacy2014 – Miembro fundador del Center for Secure Design de IEEE-CShttp://cybersecurity.ieee.org/center-for-secure-design.html
![Page 3: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/3.jpg)
Qué es la Fundación Sadosky ?
• La Fundación Dr. Manuel Sadosky es una institución público-privada cuyo objetivo es promover la articulación entre el sistema científico - tecnológico y la estructura productiva en todo lo referido a las Tecnologías de la Información y la Comunicación (TIC)
• Formalmente creada por Decreto del Poder Ejecutivo Nacional en Junio de 2009, comenzó a funcionar a fines de 2011
• Lleva el nombre de quien fuera un pionero y visionario de la informática tanto en el país como en la región
• MinCyT, CESSI y CICOMRA Dr. Manuel Sadosky(1914-2005)
![Page 4: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/4.jpg)
Tenemos objetivos de mediano y largo plazo
“La interacción necesaria entre el gobierno, la estructura productiva y la infraestructura científico-tecnológica no se alcanza con la sola expresión de deseo, mediante un decreto, sino que es consecuencia de un proceso socio-político que se acelera en la medida en que sus protagonistas vayan teniendo una mayor conciencia de su rol, posean intereses comunes, definan objetivos comunes y se comuniquen en un lenguaje común”
Jorge A. Sábato
Gobierno
EstructuraProductiva
Infraestructura Científico – tecnológica
TIC
![Page 5: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/5.jpg)
Cuál es el propósito del Programa STIC?
Visión“Las TIC como factor transformador para una sociedad con un cultura emprendedora que promueve e impulsa la creación de conocimiento, la innovación productiva y sustentable, la competitividad de la economía y la mejora de la calidad de vida de la población sin que ello redunde en un aumento de la dependencia tecnológica o de la vulnerabilidad de la infraestructura crítica“
![Page 6: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/6.jpg)
Funciones del Programa STIC
1. Desarrollar y robustecer capacidades de I+D+i
2. Articulación Academia-Industria-Estado
3. Divulgación, asesoría y capacitación
4. Vinculación regional y extra-regional con centros de I+D de Seguridad TIC
5. Proyectos Faro de I+D+i
![Page 7: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/7.jpg)
Seguridad TICPor qué hablar de esto acá?
![Page 8: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/8.jpg)
Porqué hablar de Seguridad de TIC ?
o Tiene relevancia estratégica para nuestro país y nuestra región
o Problemática real con impacto directo sobre todos los habitantes
o Sin seguridad no hay privacidad ni posibilidad de garantizar otros derechos fundamentales.
o Seguridad de TIC es transversal, el software es omnipresente
o Investigación, Desarrollo e InnovaciónClave para la “soberanía tecnológica” Ataque y Defensa son complementarios, ambos necesarios.
o Es necesario pero no suficiente:Políticas nacionales, regulación e implementación de controlesDesarrollo del sector productivoCrear y robustecer un ecosistema sustentable
![Page 9: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/9.jpg)
La seguridad TIC y el software
Fuente: National Vulnerability Database, National Institue of Standards and Technology (NIST), EEUU
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014E
Vuln nuevas (NVD)
1677 2156 1527 2452 4933 6608 6514 5632 5733 4639 4151 5289 5186 6375
Acumulado (NVD)
1677 3833 5360 7812 12745
19353
25867
31499
37232
41871
46022
51311
56497
62872
1000
3000
5000
7000
5000
15000
25000
35000
45000
55000
65000
Vulnerabilidades publicadas anualmente
Vu
lnerab
ilid
ad
es p
ub
licad
as
![Page 10: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/10.jpg)
Si, hay muchos bugs, pero son graves?
Fuente: National Vulnerability Database, National Institue of Standards and Technology (NIST), EEUU
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014E
HIGH 774 1005 680 968 2042 2756 3160 2843 2722 2095 1823 1764 1736 1828.5
MEDIUM
713 998 747 1274 2438 3335 3125 2609 2812 2267 2068 3014 2930 3895.5
LOW 190 153 100 210 453 517 229 180 199 277 260 511 520 633
5%
15%
25%
35%
45%
55%
65%
75%
85%
95%
Distribución por severidad (CVSS)
LOW
MEDIUM
HIGH
Año
% d
el
to
tal
de v
uln
s
![Page 11: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/11.jpg)
Cuál es el alcance del problema?
o Las estadísticas mostradas son de:• Problemas de implementación (bugs)• Publicados por fabricantes o terceros (investigadores, industria,
etc.)• Catalogados con un ID único (CVE) por Mitre.org• Solo aplicables a software comercial ya desplegado
o Se estima que los bugs solo representan el 50% de los problemas de seguridad del software. El otro 50% corresponde a fallas de diseño (flaws)
o La cantidad de bugs es al menos 1 o 2 órdenes de magnitud mayor si consideramos software a medida o desarrollado para uso interno.
o El costo de arreglar un bug crece exponencialmente en el tiempo:
{Requerimientos, diseño, implementación, testing, despliegue, mantenimiento}
![Page 12: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/12.jpg)
Seguridad TICEl mercado y la industria
![Page 13: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/13.jpg)
Mercado global de software y servicios de seguridad TIC
o Mercado global: 71.100MM USD* (2014)
• Seguridad Computadoras de Escritorio y Servers: $7.170 MM USD (2010)
• Seguridad de Redes: $7.540MM USD (2010)• Gestión de Identidades y Accesos: $4.450MM USD (2010E)• Gestión de Seguridad y Vulnerabilidades : $3.400MM USD (2010)• Seguridad Web: $1.700MM USD (2010)• Protección contra Filtración de Datos (DLP): $680MM (2013)
Crecimiento estimado > 18% para el 2014
o Crecimiento estimado al 2015: 76.900 MM USD* (8,2%)
o >1.000 Empresas de Seguridad TIC $10MM USD/año o Menos del 1% son de capitales o tecnología nacional
* Forecast Overview: Information Security, Worldwide, 2012-2018, 2Q14 Update, Agosto 2014, Gartner
![Page 14: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/14.jpg)
Mercado global de software y servicios de seguridad TIC
Mercado global de seguridad de las TIC
![Page 15: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/15.jpg)
“One Ring to rule them all, One Ring to find them,One Ring to bring them all and in the darkness bind them“
El anillo de Sauron, El Señor de los AnillosNovela de J.R.R. Tolkien, 1954-1955
![Page 16: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/16.jpg)
• Ninguna funciona bien…• Todas introducen nuevos puntos de falla• Arquitectura del siglo pasado (1980-1990)• Interfaz gráfica del siglo pasado (1980-2000)• Generación centralizada de valor (contenido) • Distribución centralizada de valor• Estructuras jerárquicas de gestión, topología
estrella• Chapucerismo y charlatanismo tecnológico
QUE TIENEN EN COMÚN TODAS LAS SOLUCIONES DE LA INDUSTRIA?
![Page 17: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/17.jpg)
• Cómo desarrollar software sin vulnerabilidades• Cómo encontrar bugs en forma eficiente• Cómo explotar bugs en forma eficiente• Cómo arreglar bugs en forma eficiente (y efectiva)• Cómo determinar si un programa es bueno o malo• Cómo determinar si un programa es una variante de otro• Cómo determinar si alguien nos está atacando• Cómo determinar la mejor forma de atacar a otro• Cómo guardar un secreto • Cómo computar en secreto • Cómo gestionar la seguridad TIC de una organización
PROBLEMAS AUN NO RESUELTOS
![Page 18: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/18.jpg)
∄ programa quedetermine…/* abo1.c * * specially crafted to feed your brain by gera */
/* Dumb example to let you get introduced... */
int main(int argv,char **argc) {char buf[256];
strcpy(buf,argc[1]);}
Si el programa tiene un defecto de seguridad El alcance del problema de seguridad. Si el programa es “bueno” o “malo” Que input hay que darle para que imprima:
“Aguante Belgrano de Córdoba!”
![Page 19: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/19.jpg)
Seguridad de TICInternet
![Page 20: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/20.jpg)
El gobierno formal y el gobierno realo Componentes fundamentales
Internet Protocol (IP) Domain Name System (DNS) Border Gateway Protocol (BGP) Secure Socket Layer (SSL) Network Time Protocol (NTP)En los últimos 15 años todos ellos “evolucionaron” hacia la centralización del comando y control de su funcionamiento
o 10 de 13 DNS root servers operan bajo jurisdicción de EEUUhttp://www.iana.org/domains/root/servers
o 3 autoridades certificantes (bajo jurisdicción de EEUU) firman mas del 75% de los certificados SSLhttp://www.netcraft.com/internet-data-mining/ssl-survey
o Los 10 principales proveedores de inter-conectividad en Internet (Tier 1) son extra-regionaleshttp://as-rank.caida.org/?mode0=org-ranking
![Page 21: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/21.jpg)
Quienes definen los estándares técnicos ?
Fuente: http://www.arkko.com/tools/rfcstats/companydistrhist_norm.html
![Page 22: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/22.jpg)
De dónde son los autores de los estándares técnicos?
Fuente: http://www.arkko.com/tools/allstats/d-countrydistr.html
Argentina:30 (0,34%) Brasil:7 (0,08%) México: 3 (0,03%) Colombia: (0,03%)
![Page 23: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/23.jpg)
Seguridad TICContexto legal y regulatorio
![Page 24: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/24.jpg)
Contexto Legal
o Espionaje informático (ciberespionaje) Ley 25.520 “Inteligencia Nacional”o Delito informático (ciberdelito)
Ley 26.388 “Delito Informático”Ley 35.326 “Protección de los datos personales”Convenio sobre ciberdelincuencia (Budapest)- Panamá y Rep Dominicana, unicos paises signatarios de la región - Potencial efecto negativo sobre actividades de I+D (Articulo 6)
http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CM=8&DF=&CL=ENG
o Guerra cibernética (ciberguerra)- Wassenaar Arrangement (Dic. 2013)
El “software de intrusión” agregado a la lista de tecnologías de uso dual con controles de exportación (Categoría 4)http://www.wassenaar.org/controllists/index.html
![Page 25: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/25.jpg)
Legislación y regulación extranjera
o Sarbanes-Oxley Act (SOX) – EEUUEstablece obligaciones pare empresas que cotizan en bolsa
o Payment Card Industry Data Security Standard (PCI-DSS)Requerimientos y estándares para organizaciones que operan con datos de tarjetas de crédito.
o Gramm-Leach-Bliley Act (GLB) – EEUUEstablece requerimientos a la industria financiera (bancos, aseguradoras, financieras, etc.) para la protección de la información financiera de sus clientes
o Data Protection Directive (Directive 95/46/EC) – UERegula procesamiento de datos personales por paises miembros de la UE. Parte componente de las leyes de privacidad y derechos humanos.
![Page 26: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/26.jpg)
Conclusiones
![Page 27: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/27.jpg)
I+D+i para Seguridad de las TIC en Argentina
o Existe una oportunidad de negocios en el mercado global de STIC
o Tiene relevancia estratégica para nuestro país
o Problemática real con impacto directo sobre todos los habitantes
• Hay software por todos lados y cada vez más
• Sin seguridad no hay privacidad
o Es necesario pero no suficiente Regulación e implementación de controles operativos Desarrollo del sector productivoCrear y robustecer un ecosistema sustentable
o El estudio de la Seguridad TIC requiere enfoque multi e interdisciplinario.
![Page 29: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/29.jpg)
Seguridad TICAtaque y defensa
![Page 30: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/30.jpg)
1950-1970
![Page 31: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/31.jpg)
1970-1980
Preparandose para la Guerra Nuclear
![Page 32: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/32.jpg)
1970-1980
El Tiempo Compartido
![Page 33: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/33.jpg)
1970-1980
![Page 34: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/34.jpg)
1980-1990
La era del Virus Informático
![Page 35: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/35.jpg)
1990-2001
El enemigo externo
![Page 36: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/36.jpg)
1990-2001
La Bomba.com
![Page 37: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/37.jpg)
2001-2010
El crimen paga
![Page 38: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/38.jpg)
2010+
![Page 39: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/39.jpg)
2013+: Programas secretos
“viento plateado del oeste”• Captura de comunicaciones en tránsito por EEUU• Acceso a la red vía “socio” (proveedor de comunicaciones: Verizon? L-3?)• Específico para Sur y Centro América• Captura: Metadata, Voz y Fax (DNR)• Captura: Metadata Y contenido (DNI)
“habilitando inteligencia de señales”• Busca influir subrepticiamente o modificar activamente el diseño de
productos de la industria TIC de EEUU y extranjera para hacerlos susceptibles a actividades de obtención de inteligencia
• Presupuesto 2013: $255mm USD, 141 empleados (personal contratado)• Insertar vulnerabilidades en sistemas comerciales de cifrado, dispositivos de
red, sistemas IT, dispositivos de usuario.• Influir sobre politicas y estándares técnicos de criptografía• Subvertir chips de dispositivo comerciales para cifrado de VPN y Web (SSL)• Captura de comunicaciones VoIP P2P• Captura y descifrado de comunicaciones 4G/LTE
![Page 40: Ivan Arce](https://reader036.vdocuments.pub/reader036/viewer/2022062514/5583f6a4d8b42afa438b4f47/html5/thumbnails/40.jpg)
2013+
Internet 2.0+
Dispositivos Móviles
Redes sociales
Computación en la nube
Redes Definidas por Software (SDN)
Mercados de Contenido
High Frequency Trading(HFT)Real-Time Bidding (RTB)
Dispositivos “Inteligentes”
“Internet de las Cosas”
Bioinformática