Your SlideShare is downloading. ×
  • Like
Iván Arce - Cómo y por qué patear el tablero de la seguridad informática
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Iván Arce - Cómo y por qué patear el tablero de la seguridad informática

  • 579 views
Published

La seguridad informática es una disciplina pseudo-científica con siglos …

La seguridad informática es una disciplina pseudo-científica con siglos
de antiguedad. Su encarnación moderna, nacida al calor de la 2da guerra
mundial, fue la ocupación principal de Alan Turing durante años, todo lo
demás lo hacía en su ratos libres :)
A partir de los 70s (del siglo pasado), con el auge de las computadoras
hogareñas y posteriormente las computadoras personales y las redes, la
seguridad informática dejo de ser una cuestión puramente militar y se
convirtió paulatinamente en una disciplina con impacto directo sobre
gran parte de la población mundial y en un negocio de decenas de miles
de millones de dólares por año. Es un campo fértil para ejercitar
tanto la creación
artistica y la investigación cientifica, como el charlatanismo y los
negocios inescrupulosos. En la charla daré un pantallazo general sobre
la historia y estado actual de la disciplina condimentada con algunas
anecdotas y experiencias propias y, con suerte, incitaré a que los
asistentes se involucren activamente para cambiar el estado de las cosas.

Published in Career
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
579
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
1
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. COMO Y PORQUE PATEAR EL TABLERO DE LA SEGURIDAD INFORMATICAIván Arce, Director del Programa STIC, Fundación Dr. Manuel Sadosky
  • 2. Y este de dónde salió?
  • 3. Qué es la Fundación Dr. Manuel Sadosky? • La Fundación Dr. Manuel Sadosky es una institución público-privada cuyo objetivo es favorecer y promover la articulación entre el sistema científico - tecnológico y la estructura productiva en todo lo referido a las Tecnologías de la Información y Comunicación (TIC) • Fue formalmente creada por Decreto del Poder Ejecutivo Nacional en Junio de 2009, y comenzó a funcionar en 2011 • Lleva el nombre quien fuera un pionero y visionario de la Informática en el País y la región Manuel Sadosky (1914-2005)
  • 4. Gobierno TICEstructura InfraestructuraProductiva Científico-Técnica
  • 5. Organización Presidencia Ministro de Ciencia, Consejo de Tecnología e Innovación Administración Productiva Vicepresidencia VicepresidenciaPresidente CESSI (Cámara de Presidente CICOMRA (Cámara de Empresas de Empresas de Software) Telecomunicaciones) Secretaria, Tesorero, Vocales, Revisores de Cuentas Director Ejecutivo Comité de Especialistas (Santiago Ceria ) Estructura Operativa Programa STIC (Iván Arce)
  • 6. Visión del Programa STIC Las TIC como factor transformador para una sociedad con un cultura emprendedora que promueve e impulsa la creación de conocimiento, la innovación productiva y sustentable, la competitividad de la economía y la mejora de la calidad de vida de la población sin que ello redunde en un aumento de la dependencia tecnológica o de la vulnerabilidad de la infraestructura crítica
  • 7. Funciones del Programa STIC• Desarrollar y robustecer capacidades de I+D+i• Articulación Academia-Industria-Estado• Divulgación, asesoría y capacitación• Vinculación regional y extra-regional con centros de I+D de Seguridad TIC• Proyectos Faro de I+D+i
  • 8. Que temas le interesan al Programa STIC?• Seguridad de Aplicaciones• Seguridad e Ingeniería de Software• Software y Sistemas Embebidos• Comunicaciones Inalámbricas• Dispositivos Móviles• Seguridad en Redes Avanzadas• Sistemas de Control de Procesos Industriales y SCADA• Métricas y modelos para la gestión de riesgo• Arquitecturas de Seguridad Innovadoras
  • 9. Previos episodios2011-1996 CORE SECURITY TECHNOLOGIES2012-2003 IEEE Security & Privacy Magazine1996-1993 VirtualFon International1994-1989 FIUBA
  • 10. “Inthe future, being able to “speak” a computerlanguage will give you a tremendous advantageover those who can’t, not because you can write acomputer program but because you’ll have a betterunderstanding of what a computer is and does, andyou will make better use of computing at the school,on the job and at home…”Commodore VIC-20 Programmer’s Reference Guide
  • 11. Idek Trzmiel (Jack Tramiel) 1928-2012
  • 12. STECNOLOGÍA
  • 13. “Llamaremos Tecnología al conjunto ordenado de losconocimientos empleados en la producción ycomercialización de bienes y servicios, y que estaintegrado no sólo por los conocimientos científicossino también por los conocimientos empíricos queresultan de observaciones, experiencias, aptitudesespecíficas, tradición oral o escrita, etc.”Jorge Sábato, El comercio de Tecnología, Programa Regional de DesarrolloCientífico y Tecnológico, Departamento de Asuntos Científicos de la OEA , 1972
  • 14. Innovación TecnológicaTecnología Incorporada vs. No IncorporadaInvestigación y DesarrolloFábrica de TecnologíaLaboratorio de I+D vs. Fábrica de Tecnología
  • 15. “Déjenme decir que toda persona que se incorpora aesta organización sabe porqué hacemosinvestigación: Para darle ganancias a la GeneralElectric”Arthur M. Bueche, VicePresident of Research & Development, General Electric, 1972
  • 16. SSEGURIDAD INFORMÁTICA
  • 17. Previos episodios-100- 0 Cifrador del César801-873 Al-Kindi, Sobre el desciframiento de mensajes criptográficoshttp://www.icmgz.com/IC7.html1355-1418 Ahmad al-Qalqashandi, Subh al-a sha1883 Auguste Kerchoff, Le Criptographie Militairehttp://www.petitcolas.net/fabien/kerckhoffs/crypto_militaire_1.pdf1949 Claude Shannon, Communication Theory of Secrecy Systemshttp://netlab.cs.ucla.edu/wiki/files/shannon1949.pdf1953 Carta de John Nash a la NSAhttp://www.nsa.gov/public_info/_files/nash_letters/nash_letters1.pdf
  • 18. 1950-1970
  • 19. 1950-1970La Torre de Marfil
  • 20. 1970-1980Preparandose para la Guerra Nuclear
  • 21. 1970-1980El Tiempo Compartido
  • 22. 1970-1980
  • 23. 1973Paul Karger, Roger SchellMultics Security Evaluation: Vulnerability Analysishttp://seclab.cs.ucdavis.edu/projects/history/papers/karg74.pdfD. Elliot Bell & Leonard J. LaPadulaSecure Computer Systems: Mathematical Foundationhttp://www.albany.edu/acc/courses/ia/classics/belllapadula1.pdf
  • 24. 1980-1990La era del Virus Informático
  • 25. 1990-2001El enemigo externo
  • 26. 1990-2001 La Bomba.com
  • 27. 2001-2010 El crimen paga
  • 28. Por qué hace falta un STIC?Fuente: National Vulnerability Database, National Institue of Standards and Technology (NIST), EEUU
  • 29. Por qué hace falta un STIC?Fuente: National Vulnerability Database, National Institue of Standards and Technology (NIST), EEUU
  • 30. 2010+Internet 2.0+ Redes Definidas por Software (SDN)Dispositivos Móviles Mercados de ContenidoRedes sociales Dispositivos “Inteligentes”Virtualización Internet de las CosasComputación en la nube BioinformáticaConectividad Inalámbrica
  • 31. GUERRA CIBERNÉTICA
  • 32. “Los Estados Unidos ya están peleando una guerracibernética y la estamos perdiendo. Es así desimple.”Mike McConnell, ex-Director de la NSA (1992-1996), ex-Director Nacional deInteligencia (2007-2009), Vicepresidente Ejecutivo de Booz Allen Hamilton ,2010 http://www.washingtonpost.com/wp-dyn/content/article/2010/02/25/AR2010022502493.html
  • 33. Por qué hace falta un STIC?
  • 34. Por qué hace falta un STIC?
  • 35. Por qué hace falta un STIC?
  • 36. REFLEXIONES SOBRE LA GUERRA CIBERNETICA1993 John Aquilla, David RonfeldtCyberwar is Coming!http://www.rand.org/pubs/reprints/RP223.html1997 John Aquilla, David RonfeldtIn Athena’s Camp: Preparing for conflict in the information Agehttp://www.rand.org/pubs/monograph_reports/MR880.html2000 Dorothy DenningReflections on Cyberweapons Controlshttp://faculty.nps.edu/dedennin/publications/reflections_on_cyberweapons_controls.pdf2011 Iván Arce, Gary McGrawCyber warmongering and Influence Peddlinghttp://www.informit.com/articles/article.aspx?p=1662328
  • 37. MÉTRICAS
  • 38. “When you can measure what you are speakingabout, and express it in numbers, you knowsomething about it; but when you cannot measureit, when you cannot express it in numbers, yourknowledge is a meagre and unsatisfactory kind; itmay be the beginning of knowledge, but you havescarcely, in your thoughts, advanced to the stage ofscience”William Thomson, Lord Kelvin, 1883
  • 39. Por qué hace falta un STIC? Werner Karl Heisenberg (1901 – 1976)
  • 40. RIESGO
  • 41. R = Pr(e) * I(e)
  • 42. R = Ʃ pr(ej) * I(ej)
  • 43. ALE: Anuallized Loss Expectancy VaR: Value at Risk
  • 44. “Hacerpredicciones es muy difícil, especialmentecuando se trata del futuroNiels Bohr, Premio Nobel de Física , 1887-1962
  • 45. CIENCIA
  • 46. ARTE
  • 47. INDUSTRIA Y MERCADO
  • 48. Más de 1000 Empresas de SeguridadInformáticaMercado global de > $30B USDSeguridad Computadoras de Escritorio y Servers: $7.17B USD (2010)Seguridad de Redes: $7.54B USD (2010)Gestión de Identidades y Accesos: $4.45B USD (2010E)Gestión de Seguridad y Vulnerabilidades : $3.4B USD (2010)Seguridad Web: $1.7B USD (2010)
  • 49. “One Ring to rule them all, One Ring to find them,One Ring to bring them all and in the darkness bindthem“El anillo de Sauron, El Señor de los AnillosNovela de J.R.R. Tolkien, 1954-1955
  • 50. LAS SOLUCIONES TIENEN DOS SABORES• Análisis sintácticoConsidera “la forma” de los objetos bajo estudio pero no su “significado”Buenas prestaciones para aplicaciones específicasFunciona bien cuando lo esencial (invariante) esta acotado sintácticamenteImplementación requiere niveles de abstracción relativamente bajos• Análisis SemánticoConsidera el significado de los objetos bajo estudio, el sentido y los efectos deuso.Mayor alcance de aplicaciónBajas prestaciones en solución de problemas realesRequiere mayor nivel abstracción y especializaciónPuede no dar soluciones definitivas
  • 51. QUE TIENEN EN COMÚN TODAS LAS SOLUCIONES DE LA INDUSTRIA?• Ninguna funciona bien…• Todas introducen nuevos puntos de falla• Arquitectura del siglo pasado (1980-1990)• Interfaz gráfica del siglo pasado (1980-2000)• Generación centralizada de valor (contenido)• Distribución centralizada de valor• Estructuras jerárquicas de gestión, topología estrella• Chapucerismo y charlatanismo tecnológico
  • 52. “Si queremos que todo siga como está, es necesarioque todo cambie". "¿Y ahora qué sucederá? ¡Bah!Tratativas pespunteadas de tiroteos inocuos, y,después, todo será igual pese a que todo habrácambiado". "…una de esas batallas que se libranpara que todo siga como está“Don Fabrizio Corbera, Príncipe de Salina, Il GatopardoNovela de Giuseppe Tomasi di Lampedusa, 1957
  • 53. PROBLEMAS AUN NO RESUELTOS• Cómo desarrollar software sin vulnerabilidades• Cómo encontrar bugs en forma eficiente• Cómo explotar bugs en forma eficiente• Cómo arreglar bugs en forma eficiente (y efectiva)• Cómo determinar si un programa es bueno o malo• Cómo determinar si un programa es una variante de otro• Cómo determinar si alguien nos está atacando• Cómo determinar la mejor forma de atacar a otro• Cómo guardar un secreto• Cómo computar en secreto
  • 54. TEMAS CON APLICACION PRACTICA• Análisis de Flujo de {Control|Datos}• Visualización y procesamiento de grandes cantidades de datos (BigData)• Ingeniería inversa y re-ingeniería• Software Model Checking, Sistemas de tipos• SAT/SMT solving• Machine Learning• Procesamiento de Imágenes• Procesamiento de Señales• Ingeniería de Software, Modelos de madurez• Teoría de grafos, redes y mercados
  • 55. GRACIAS !stic@fundacionsadosky.org.ar