Tuesday, December 05, 2017

Eurecat Mobile Forum 2 - Seguridad - Nuevos retos legales y técnicos

La segunda parte del Eurecat Mobile Forum se tituló Seguridad: Nuevos retos legales y técnicos. El presentador de esta parte y moderador de la mesa redonda fue Marc Granados de Nexica, y los ponentes fueron los siguientes según mis notas que comparto a continuación:


ROCA JUNYENT
Xavier Foz

Es una revolución a la altura de Internet, ya que pasa a ser Internet del valor (ya no sólo de la información)
Web 1.0 → Distribution
2.0 → Communicate – social
3.0 → Semántica, usuarios, big data (Collaborate)
4.0 → Descentralización de la información y del valor

Descentrelación
  • Desaparece el intermediario (clearing house) Centralized Distributed ledger
Ventaja a nivel de reducción de costs y tiempos, pero supone retos
  • Reglas de gobernanza sólidas para permitir operar, mantener confianza…

Confianza entre las partes que intervienen , mediante una verdadera identidad digital
El Estado nos obliga a tener una serie de datos para identificarnos, pero se trata de una información disgregada entre administraciones → no existe un modelo de identidad digital ordenada, y que además esté controlada por el propio usuario, para controlar el acceso a cada uno de los organismos que quieran acceder a mis datos

Actualmente la gallina de los huevos de oro es el acceso a los datos de los usuarios, para así poder comercializar con ellos y con sus aplicaciones
Smart contracts → las operaciones en la red se ejecutan a modo de transacción on-chain, identificando ambas personas e identificando el tipo de operación. De esta forma siempre habrá la trazabilidad de la operación entre ambos.
Actualmente no hay ningún sistema legal que reconozca de momento este tipo de transacciones por blockchain, pero en cambi tampoco estaba este tema antes en email, pero todo llegará

De la misma forma que en bitcoin, pero ahora sí que se reconocen como activo y modo de pago, para que se pueda tributar
ICOs se ha convertido en una nueva forma de financiación de proyectos. Según coindesk se llegó a 327m$ en Junio de 2017, y VC 295m$
Este tipo de inversiones tienen un alto grado de riesgo, porque difícilmente podrán ver la luz con éxito.
Bezos → ICO con demandas de los inversores.
Los proyectos de blockchain están consiguiendo más dinero por los ICOs que por venture cpital.
Los reguladores están siguiendo el fenómeno de los ICOs por, en caso de ver cualquier asimilación a valores, para tener que aplicarse las normas del mercado de valores.
Liquid Asset Token Protocol – Open-Source Multiple Asset Tokenization Apps
El fenómeno de la tokerización de activos va a permitir poner liquidez a una serie de activos con contenido patrimonial, pero que era muy difícil invertir o transaccionar con ellos
Esto va a tener mucho impacto en empresas que no tenían capacidad de emitir bonos de deuda o sin estar cotizadas en el mercado de valores. Así pues gran posibilidad para que puedan recoger inversión empresas tipo startups.
Lista de retos regulatorios en los que se debe trabajar para poder conseguir que blockchain pueda aplicarse en nuestra realidad.


SCYTL (Innovating Democracy)
Jordi Puiggalí

¿Cómo aplicar Blockchain en el voto electrónico?
Hay que asegurar – E-voting requirements:
  • Autenticación
  • Privacidad
  • Secreto
  • Integridad
  • Verificación (individual y universal)
  • Auditabilidad
  • Cumplimiento de las leyes electorales y acionales
Blockchain por sí solo no te lo soliciona todo, pero si te da una base para poder cumplir algunos de los requrimientos del voto electrónico:
  • Integridad del voto
  • Integridad del proceso para la auditoría de la información
Propiedades básicas de blockchain:
  • Sitio público que descentralizadamente se publica información, y que de forma inmutable, no puede llegarse a modificar a posteriori
  • Da soporte a Smart-contracts mediante Ethereum
  • Da anonimato o pseudo-anonimato para que luego no se pueda trazar la información del voto con un votante determinado
Blockchain no lo puede dar, es el censo electoral que da el token que da permiso al votante a poder votar o no.
El secreto del voto, 2 posibilidades:
  • Tipo criptomoneda: se le da al votante una criptomoneda, y esa criptomoneda el votante se la ofrece a sólo uno de los candidatos. Esto no da total anonimato, y además puede haber resultados parciales.
  • Tipo cifrado para almacenar el voto en la blockchain, puede comprometerse la privacidad del votante si se descifra la clave de encriptación
Integridad
Auditabilidad

Concepto del bulletin board, para auditar todas las transacciones

A nivel legal muy difícil:
  • Sólo almacenado todo en el mismo país, porque blockchain es descentralizado a nivel mundial
  • Es importante que el entorno legal pueda validar soluciones de este tipo, por ejemplo Alastria que trata de realizar Blockchain limitándose por ejemplo a nivel nacional
  • Hay que cumplir leyes electorales y del país


EURECAT
Juan Caubet

Múltiples ciberataques cada día
Fugas de datos, y otros eventos que hacen imposible defender la empresa mediante muros.
Los portátiles se conectan a múltiples wifis, no sólo a las corporativas.
Tenemos que estar abiertos qa que blockchain pueda ayudar a minimizar los daños mediante la gestión de identidades, integridad de los datos o protección de ciertas infrastructuras crtíticas

DDoS desde dispositivos de IoT, sobretodo cámaras de vigilancia, realizaron un ataque sobre DNS

Proteger los datos ante sistemas como Wannacry
Hay que tener en cuenta que Blockchain no es la panacea, así que hay retos en la gestión de la clave privada, suplantaciones, vulnerabilidades, ddos, robos
Conclusiones:
  • Blockchain ha llegado a la ciberseguridad para quedarse
  • Administración segura de claves
  • Blockchain más pequeñas conlleva otros problemas


BLUELIV
Ramon Vicens

I+D lidera monitorización amenazas basadas en malware
No estamos tan lejos de Mr. Robot o Matrix
  • IoT interconectados al mundo, son nuevas vulnerabilidades para acceder a nuestros sistemas
  • Infección de sistemas críticos con cifrado por malware
  • Robo de trajetas de crédito para realizar fraude
  • Fuga de credenciales
  • Información en Darkware
Leaks de datos:
  • Equifax caída espectacular bolsa
  • Uber pagaron para que esa información no se difundiera extorsión
Tipos de ataque
  1. Reconnaissance estudio del entorno
  2. Weaponization creación del arma para poder explotar
  3. Lure hacer que los usuarios ejecuten mi kit o software
  4. Redirection and Exploitation quizás sólo navegando por una web infectada, mails que engañan
  5. Infection trojan bankers, rads (backdoor en una organización)
  6. Command and Control
  7. Data Theft

Objetivos:
  • Ganar dinero mediante transacciones electrónicas. Se te corta la compra on-line, y acaban utilizando tu transacción autorizada a un mulero
  • Clonado de tarjetas de crédito (mediante terminales punto de venta TPV infectados)
  • Venta de servicios a terceras partes, para así cada uno se dedica a aquello que sabe mejor (Crime As A Service
Monetizan a través de Gift Cards de Amazon o EBay

MacDonnalds de las Tarjetas de Crédito
GetDummps

Tendencias 2018:
  • Nuevos wannacry (ransomware attacks)
  • Menos ruidosos para conseguir gran fuga de datos y después extorsión para evitar multas de GDPR

Cambiar el paradigma de la seguridad:
  • No hay muros, ni castillos que protejan
  • Buscar talento
  • Mirar fuera qué está pasando para ver acciones de forma preventiva

Bluliv → theat Exchange network -> busca un modelo de colaboraciópn para protegerse


ISEC Auditors
Álvaro Garcia Mesa


Amenazas de ciberguerra pasan de conflictos geopolíticos que se trasladan al ciberespacio
Injerencias de terceros países en la situación interna de un país: NSA, CIA cómo Rúsia inerfirió en las elecciones de USA (Trump)

Retos de ciberseguridad en las Fintech
→Una empresa ya no sólo se mide su valor por resultados, sino que interfieren la información y la imagen de marca

Bitfinex
Wannacry en múltiples empresas
Ashley Madison
HBO (capítulos robados, y agenda de actores y actrices, y guiones de películas y series)

Qué hay que hacer para protegerse?
Incluir la seguridad en el mismo ciclo de vida del desarrollo de las aplicaciones:
  • Análisis
  • Diseño
  • Codificación (evitar qye pueda incluirse código malicioso)
  • Testing
  • Deployment

Elementos básicos que hay que cumpir:
  • Guías de bastionado, evitar config por defecto
  • Eleiminar cuentas genéricas o por defecto
  • Pruebas de seguridad, periodos en los que se incluyan tests
  • Diseñar red segura, evitando red plana (DMS o interna)
  • Conseguir entornos con parcheado al día (wannacry vulnerabilidad corregida por Microsoft en Marzo y explotada en Agosto)
  • Proteger la información
  • Modelo de accesos (you need to know)
  • Formación y concienciación

Soluciones de seguridad:
  • Monitorización; SIEM, IDS, IPS
  • Soluciones de protección de la información;IRM, DLP, Sistemas predictivos
  • Pentesting persistentes, FW aplicación, sistemas anti APTs, IAM, gestión cuentas privilegiadas…
Retos con la introducción de las nuevas versiones de:
  • LOPD y RGPD
  • PCI
  • PSD2



MITTUM
Iván Enríquez

Fórmulas para combatir phishing
Mittum hace spam de mail
156 milones de mails al minuto en Internet
Return Path → sólo el 15% de correos que enviamos son legítimos, resto son phishing, spam…
Evitar:
  • Phishing
  • Spoofing
  • Forging
Casos de phishing:
  • Netflix
  • Endesa
Cómo combatir el phishing?
Autenticarnos:
SPF: Autenticación para que sólo nosotros podemos enviar correos desde este dominio
DKIM: Cifrado punto a punto
DMARC: Protocolo que mira si SPF y DKIM son correctos para entonces aceptar el correo

Cifrado TLS:
  • Paypal utiliza cifrado en TLS
Todos los enlaces de redirección sean HTTPS
Enlaces de tracking, cuando pasamos por encima de los botones de los emails debe mostrarse la dirección URL con el dominio válido


GDPR: Incremento de seguridad y de sanciones, cambio de paradigma a una gestión pasiva de los datos a una gestión proactiva de los datos que pertenecen a los usuarios y que las empresas deben respetar lo que desea cada uno de  los usuarios

No comments: