Enllaços
Contingut actualitzat
Categories
Contingut antic
(ja no s'actualitza)
Versions anteriors
d'aquesta pàgina
Arxiu
|
|
 |
divendres, 5 / novembre / 2004 |
Aquesta tarda he tingut l'oportunitat de parlar una estona amb en Bruce Schneier, aprofitant la seva estada durant la RSA Conference:
M'ha fet gràcia que ell també és usuari d'un Treo 600.
|
19:45 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
[Via Puntbarra] ATAC SENSEFILS: Jornada de seguretat Wireless. Esteu convidats a una jornada de seguretat sensefils que montem dissabte 13 de novembre a Mataró. Amb l'excusa d'un concurs (de moment sense premis), pretenem montar una party wireless per compartir coneixaments i experiencies sobre seguretat. També hi haurà algunes conferències.
Per més informació: http://actividades.matarowireless.net
|
15:17 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
A continuació de la ponència de Microsoft, ha parlat Alain Fiocco, el director EMEA de tecnologia de Cisco Systems. La seva ponència ha anat sobre la visió d'una xarxa que es protegeix de forma automàtica. El primer concepte important és que per Cisco la seguretat cal veure-la com un conjunt que afecta a tota la infraestructura de la xarxa, incloent els ordinadors i l'electrònica. Dins de la infraestructura. A això cal afegir a més que actualment el protocol TCP/IP és la infraestructura per tota mena de comunicacions: dades, veu, vídeo, treball en col·laboració... Tots aquests sistemes tenen els mateixos requeriments de seguretat, encara que amb diferències particulars (per exemple, a la veu és important el temps real).
Cisco considera que la seguretat s'ha convertit en l'últim any en la màxima prioritat d'inversió per a les empreses europees (69%). Un problema es la percepció general de que la seguretat és, en gran mesura, un impediment i no pas com un element integral de tots les projectes. En canvi, per Cisco la seguretat és molt important: genera mil milions de dòlars anuals de facturació i Cisco inverteix tres cent milions de dòlars en inversió de R+D.
Per ajudar a la indústria, Cisco ofereix SAFE, una col·lecció de documents on s'expliquen les millors pràctiques per a la implementació de seguretat. De fet descriu com Cisco implementa les mesures de seguretat a la seva pròpia xarxa.
Per últim ha explica tecnologies com el Cisco Security Agent per a la prevenció d'atacs (incloent-hi els 0-day) i Cisco Network Admission Conrol que permet aplicar una política de verificació dels sistemes abans de permetre'ls l'accés a la xarxa.
A continuació ha parlat Francisco García Morán, director general d'informàtica de la Comissió Europea per tal de parlar sobre l'estatègia de seguretat de la Unió Europea. Ha presentat la pròpia organització com la d'una entitat complexa amb presència a tots els països membres. També ha començat amb una exposició de tots les programes i iniciatives de la Unió Europea per a la lluita contra el terrorisme cibernètic i els atacs generals contra la infraestructura.
Un element important en aquesta visió de la seguretat és l'ENISA, l'agència europea de xarxes i seguretat de la informació, que és l'organisme encarregat de fixar els requeriments de seguretat per als diferents organismes europeus i la coordinació d'activitats.
Per la tarda, la única xerrada que he anat és la de Bruce Schneier, de Counterpane i autor dels clàssics «Secrets and Lies» i «Beyond Fear». Ha estat la xerrada que ha despertat una major expectació, amb una sala plena amb gent pels passadissos, al terra, a l'escenari. Jo mateix l'he seguit dret a la porta, ja que quan he arribat la sala estava totalment plena.
El títol de la xerrada era «Security Design: What Works, What doesn't, and Why», on ha fet una visió a grans trets de com funciona la seguretat informàtica i com això es pot comparar amb els altres aspectes de la vida real. De fet, considera que la seguretat informàtica no es diferent a la seguretat en els altres entorns.
Per ell hi ha tres factors fonamentals:
- La seguretat és un sistema. És important no considerar-la en funció dels atacs específics, sinó que s'ha d'entendre en un conjunt. Ha posat com exemple el Google Desktop Search, que un cop instal·lat permet cercar dins dels fitxers de les comunicacions xifrades (la memòria cau de les sessions HTTPS). Això ho considera com una inseguretat, encara que el problema no és pròpiament de Google sinó que aquestes pàgines no haurien de ser emmagatzemades al sistema de fitxers.
És important, en mesurar la seguretat, saber els motius pels quals una cosa falla més que no pas conèixer com funciona correctament. De fet, ell defineix la seguretat com allò que succeeix en els moments en que les coses fallen per que hi ha quelcom que els fa fallar, justament en els pitjors moments. Considera que hi ha dues menes de problemes, els actius (quan alguna cosa no funciona i provoca un error) i els passius (quan les mesures de seguretat fallen quan no hi ha un atac). Les mesures de seguretat habituals tenen un major efecte sobre allò que fan els usuaris legítims i no pas sobre els atacants.
- La tecnologia. Els problemes de seguretat no són nous, tenen centenars de anys... però el que fa la tecnologia es augmentar-ne la seva incidència. Un problema general es la limitació en la utilització de la tecnologia per la senzilla raó que pot ser utilitzada per activitats il·legítimes. Aquest és un error de principi doncs l'únic que aconsegueix es impedir-ne la seva utilització legitima en les mesures de defensa. Un cas paradigmàtic han estat els intents durant molt de temps per impedir la utilització de la criptografia.
- Conèixer l'amenaça només es possible si coneixement l'atacant. Cal conèixer les motivacions, recursos, objectius, coneixements, accés i el risc als que s'enfronta l'atacant... i tenir present que el valor el fixa l'atacant i no nosaltres. Les mesures de protecció contra atacs antics no ens protegeix davant de nous atacs.
La filosofia general es considerar la seguretat com una cadena tant forta com l'element més dèbil. No serveix de res millorar la seguretat de punts concrets si continuen tenint problemes en punts sobre els que no donem importància. A més, les mesures de seguretat han de protegir-ho, però els atacants per contra sovint es focalitzen en un punt. Ho ha il·lustrat amb la seva experiència en trencar algoritmes de xifrat: mai no ho fet per força bruta sinó trobant algun error en el protocol... és a dir, la mida de la clau no importava en realitat.
Per aplicar la seguretat cal:
- Defensa en profunditat, evitar els punts únics d'error que, davant d'un problema poden exposar tota la infraestructura. Sempre hi ha d'haver diversos nivells.
- Compartimentalització, per evitar que en el cas d'un forat de la seguretat, el nombre de sistemes exposats sigui el menor possible.
- Choke points, és a dir l'existència d'un punt únic sobre on aplicar les mesures de seguretat... de poc serveixen les mesures de seguretat aplicades si hi ha un camí diferent.
- Mesures dinàmiques que puguin adaptar-se a les situacions canviants.
- Múltiples plataformes, per tal que els problemes específics d'un entorn ens afectin directament.
- Replicació, per ell és la primera mesura de seguretat arreu... de forma que si rebem un atac no perdem res. Cal tenir còpies de seguretat de tot.
En definitiva, la seguretat és un procés difícil, subtil i gens fàcil. Cal que els professionals dediquin molt de temps en analitzar els problemes i hem d'aprendre a pensar com els atacants. Considera que una àrea on les tecnologies de seguretat han de millorar molt són els aspectes d'usabilitat: facilitar l'ús de les funcions. També demana als fabricants que les seves afirmacions sobre els productes de seguretat siguin més realistes.
El principal canvi en la seguretat durant els propers mesos és la major implicació del crim organitzat, que farà servir els atacs contra les infraestructures de seguretat com una nova arma.
|
07:08 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
[jlister.org] OK, this i so going to blow up.La CNN/Netscape anuncien la victòria de Bush... fins aquí res d'estrany. Ara, pels més observadors la imatge associada a la notícia té un nom curiós: asshole.jpg
|
01:51 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
© Copyright 2003-2004 Xavier Caballe.  . Si no s'indica expressament el contrari, el material publicat en aquest weblog es distribueix d'acord amb la llicència Creative Commons. El contingut és responsabilitat única i exclusivament del seu autor i no té cap relació amb les seves activitats professionals.
|
|
|
