Iván Arce - Cómo y por qué patear el tablero de la seguridad informática

892 views

Published on

La seguridad informática es una disciplina pseudo-científica con siglos
de antiguedad. Su encarnación moderna, nacida al calor de la 2da guerra
mundial, fue la ocupación principal de Alan Turing durante años, todo lo
demás lo hacía en su ratos libres :)
A partir de los 70s (del siglo pasado), con el auge de las computadoras
hogareñas y posteriormente las computadoras personales y las redes, la
seguridad informática dejo de ser una cuestión puramente militar y se
convirtió paulatinamente en una disciplina con impacto directo sobre
gran parte de la población mundial y en un negocio de decenas de miles
de millones de dólares por año. Es un campo fértil para ejercitar
tanto la creación
artistica y la investigación cientifica, como el charlatanismo y los
negocios inescrupulosos. En la charla daré un pantallazo general sobre
la historia y estado actual de la disciplina condimentada con algunas
anecdotas y experiencias propias y, con suerte, incitaré a que los
asistentes se involucren activamente para cambiar el estado de las cosas.

Published in: Career
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
892
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Iván Arce - Cómo y por qué patear el tablero de la seguridad informática

  1. 1. COMO Y PORQUE PATEAR EL TABLERO DE LA SEGURIDAD INFORMATICAIván Arce, Director del Programa STIC, Fundación Dr. Manuel Sadosky
  2. 2. Y este de dónde salió?
  3. 3. Qué es la Fundación Dr. Manuel Sadosky? • La Fundación Dr. Manuel Sadosky es una institución público-privada cuyo objetivo es favorecer y promover la articulación entre el sistema científico - tecnológico y la estructura productiva en todo lo referido a las Tecnologías de la Información y Comunicación (TIC) • Fue formalmente creada por Decreto del Poder Ejecutivo Nacional en Junio de 2009, y comenzó a funcionar en 2011 • Lleva el nombre quien fuera un pionero y visionario de la Informática en el País y la región Manuel Sadosky (1914-2005)
  4. 4. Gobierno TICEstructura InfraestructuraProductiva Científico-Técnica
  5. 5. Organización Presidencia Ministro de Ciencia, Consejo de Tecnología e Innovación Administración Productiva Vicepresidencia VicepresidenciaPresidente CESSI (Cámara de Presidente CICOMRA (Cámara de Empresas de Empresas de Software) Telecomunicaciones) Secretaria, Tesorero, Vocales, Revisores de Cuentas Director Ejecutivo Comité de Especialistas (Santiago Ceria ) Estructura Operativa Programa STIC (Iván Arce)
  6. 6. Visión del Programa STIC Las TIC como factor transformador para una sociedad con un cultura emprendedora que promueve e impulsa la creación de conocimiento, la innovación productiva y sustentable, la competitividad de la economía y la mejora de la calidad de vida de la población sin que ello redunde en un aumento de la dependencia tecnológica o de la vulnerabilidad de la infraestructura crítica
  7. 7. Funciones del Programa STIC• Desarrollar y robustecer capacidades de I+D+i• Articulación Academia-Industria-Estado• Divulgación, asesoría y capacitación• Vinculación regional y extra-regional con centros de I+D de Seguridad TIC• Proyectos Faro de I+D+i
  8. 8. Que temas le interesan al Programa STIC?• Seguridad de Aplicaciones• Seguridad e Ingeniería de Software• Software y Sistemas Embebidos• Comunicaciones Inalámbricas• Dispositivos Móviles• Seguridad en Redes Avanzadas• Sistemas de Control de Procesos Industriales y SCADA• Métricas y modelos para la gestión de riesgo• Arquitecturas de Seguridad Innovadoras
  9. 9. Previos episodios2011-1996 CORE SECURITY TECHNOLOGIES2012-2003 IEEE Security & Privacy Magazine1996-1993 VirtualFon International1994-1989 FIUBA
  10. 10. “Inthe future, being able to “speak” a computerlanguage will give you a tremendous advantageover those who can’t, not because you can write acomputer program but because you’ll have a betterunderstanding of what a computer is and does, andyou will make better use of computing at the school,on the job and at home…”Commodore VIC-20 Programmer’s Reference Guide
  11. 11. Idek Trzmiel (Jack Tramiel) 1928-2012
  12. 12. STECNOLOGÍA
  13. 13. “Llamaremos Tecnología al conjunto ordenado de losconocimientos empleados en la producción ycomercialización de bienes y servicios, y que estaintegrado no sólo por los conocimientos científicossino también por los conocimientos empíricos queresultan de observaciones, experiencias, aptitudesespecíficas, tradición oral o escrita, etc.”Jorge Sábato, El comercio de Tecnología, Programa Regional de DesarrolloCientífico y Tecnológico, Departamento de Asuntos Científicos de la OEA , 1972
  14. 14. Innovación TecnológicaTecnología Incorporada vs. No IncorporadaInvestigación y DesarrolloFábrica de TecnologíaLaboratorio de I+D vs. Fábrica de Tecnología
  15. 15. “Déjenme decir que toda persona que se incorpora aesta organización sabe porqué hacemosinvestigación: Para darle ganancias a la GeneralElectric”Arthur M. Bueche, VicePresident of Research & Development, General Electric, 1972
  16. 16. SSEGURIDAD INFORMÁTICA
  17. 17. Previos episodios-100- 0 Cifrador del César801-873 Al-Kindi, Sobre el desciframiento de mensajes criptográficoshttp://www.icmgz.com/IC7.html1355-1418 Ahmad al-Qalqashandi, Subh al-a sha1883 Auguste Kerchoff, Le Criptographie Militairehttp://www.petitcolas.net/fabien/kerckhoffs/crypto_militaire_1.pdf1949 Claude Shannon, Communication Theory of Secrecy Systemshttp://netlab.cs.ucla.edu/wiki/files/shannon1949.pdf1953 Carta de John Nash a la NSAhttp://www.nsa.gov/public_info/_files/nash_letters/nash_letters1.pdf
  18. 18. 1950-1970
  19. 19. 1950-1970La Torre de Marfil
  20. 20. 1970-1980Preparandose para la Guerra Nuclear
  21. 21. 1970-1980El Tiempo Compartido
  22. 22. 1970-1980
  23. 23. 1973Paul Karger, Roger SchellMultics Security Evaluation: Vulnerability Analysishttp://seclab.cs.ucdavis.edu/projects/history/papers/karg74.pdfD. Elliot Bell & Leonard J. LaPadulaSecure Computer Systems: Mathematical Foundationhttp://www.albany.edu/acc/courses/ia/classics/belllapadula1.pdf
  24. 24. 1980-1990La era del Virus Informático
  25. 25. 1990-2001El enemigo externo
  26. 26. 1990-2001 La Bomba.com
  27. 27. 2001-2010 El crimen paga
  28. 28. Por qué hace falta un STIC?Fuente: National Vulnerability Database, National Institue of Standards and Technology (NIST), EEUU
  29. 29. Por qué hace falta un STIC?Fuente: National Vulnerability Database, National Institue of Standards and Technology (NIST), EEUU
  30. 30. 2010+Internet 2.0+ Redes Definidas por Software (SDN)Dispositivos Móviles Mercados de ContenidoRedes sociales Dispositivos “Inteligentes”Virtualización Internet de las CosasComputación en la nube BioinformáticaConectividad Inalámbrica
  31. 31. GUERRA CIBERNÉTICA
  32. 32. “Los Estados Unidos ya están peleando una guerracibernética y la estamos perdiendo. Es así desimple.”Mike McConnell, ex-Director de la NSA (1992-1996), ex-Director Nacional deInteligencia (2007-2009), Vicepresidente Ejecutivo de Booz Allen Hamilton ,2010 http://www.washingtonpost.com/wp-dyn/content/article/2010/02/25/AR2010022502493.html
  33. 33. Por qué hace falta un STIC?
  34. 34. Por qué hace falta un STIC?
  35. 35. Por qué hace falta un STIC?
  36. 36. REFLEXIONES SOBRE LA GUERRA CIBERNETICA1993 John Aquilla, David RonfeldtCyberwar is Coming!http://www.rand.org/pubs/reprints/RP223.html1997 John Aquilla, David RonfeldtIn Athena’s Camp: Preparing for conflict in the information Agehttp://www.rand.org/pubs/monograph_reports/MR880.html2000 Dorothy DenningReflections on Cyberweapons Controlshttp://faculty.nps.edu/dedennin/publications/reflections_on_cyberweapons_controls.pdf2011 Iván Arce, Gary McGrawCyber warmongering and Influence Peddlinghttp://www.informit.com/articles/article.aspx?p=1662328
  37. 37. MÉTRICAS
  38. 38. “When you can measure what you are speakingabout, and express it in numbers, you knowsomething about it; but when you cannot measureit, when you cannot express it in numbers, yourknowledge is a meagre and unsatisfactory kind; itmay be the beginning of knowledge, but you havescarcely, in your thoughts, advanced to the stage ofscience”William Thomson, Lord Kelvin, 1883
  39. 39. Por qué hace falta un STIC? Werner Karl Heisenberg (1901 – 1976)
  40. 40. RIESGO
  41. 41. R = Pr(e) * I(e)
  42. 42. R = Ʃ pr(ej) * I(ej)
  43. 43. ALE: Anuallized Loss Expectancy VaR: Value at Risk
  44. 44. “Hacerpredicciones es muy difícil, especialmentecuando se trata del futuroNiels Bohr, Premio Nobel de Física , 1887-1962
  45. 45. CIENCIA
  46. 46. ARTE
  47. 47. INDUSTRIA Y MERCADO
  48. 48. Más de 1000 Empresas de SeguridadInformáticaMercado global de > $30B USDSeguridad Computadoras de Escritorio y Servers: $7.17B USD (2010)Seguridad de Redes: $7.54B USD (2010)Gestión de Identidades y Accesos: $4.45B USD (2010E)Gestión de Seguridad y Vulnerabilidades : $3.4B USD (2010)Seguridad Web: $1.7B USD (2010)
  49. 49. “One Ring to rule them all, One Ring to find them,One Ring to bring them all and in the darkness bindthem“El anillo de Sauron, El Señor de los AnillosNovela de J.R.R. Tolkien, 1954-1955
  50. 50. LAS SOLUCIONES TIENEN DOS SABORES• Análisis sintácticoConsidera “la forma” de los objetos bajo estudio pero no su “significado”Buenas prestaciones para aplicaciones específicasFunciona bien cuando lo esencial (invariante) esta acotado sintácticamenteImplementación requiere niveles de abstracción relativamente bajos• Análisis SemánticoConsidera el significado de los objetos bajo estudio, el sentido y los efectos deuso.Mayor alcance de aplicaciónBajas prestaciones en solución de problemas realesRequiere mayor nivel abstracción y especializaciónPuede no dar soluciones definitivas
  51. 51. QUE TIENEN EN COMÚN TODAS LAS SOLUCIONES DE LA INDUSTRIA?• Ninguna funciona bien…• Todas introducen nuevos puntos de falla• Arquitectura del siglo pasado (1980-1990)• Interfaz gráfica del siglo pasado (1980-2000)• Generación centralizada de valor (contenido)• Distribución centralizada de valor• Estructuras jerárquicas de gestión, topología estrella• Chapucerismo y charlatanismo tecnológico
  52. 52. “Si queremos que todo siga como está, es necesarioque todo cambie". "¿Y ahora qué sucederá? ¡Bah!Tratativas pespunteadas de tiroteos inocuos, y,después, todo será igual pese a que todo habrácambiado". "…una de esas batallas que se libranpara que todo siga como está“Don Fabrizio Corbera, Príncipe de Salina, Il GatopardoNovela de Giuseppe Tomasi di Lampedusa, 1957
  53. 53. PROBLEMAS AUN NO RESUELTOS• Cómo desarrollar software sin vulnerabilidades• Cómo encontrar bugs en forma eficiente• Cómo explotar bugs en forma eficiente• Cómo arreglar bugs en forma eficiente (y efectiva)• Cómo determinar si un programa es bueno o malo• Cómo determinar si un programa es una variante de otro• Cómo determinar si alguien nos está atacando• Cómo determinar la mejor forma de atacar a otro• Cómo guardar un secreto• Cómo computar en secreto
  54. 54. TEMAS CON APLICACION PRACTICA• Análisis de Flujo de {Control|Datos}• Visualización y procesamiento de grandes cantidades de datos (BigData)• Ingeniería inversa y re-ingeniería• Software Model Checking, Sistemas de tipos• SAT/SMT solving• Machine Learning• Procesamiento de Imágenes• Procesamiento de Señales• Ingeniería de Software, Modelos de madurez• Teoría de grafos, redes y mercados
  55. 55. GRACIAS !stic@fundacionsadosky.org.ar

×