presentación de powerpoint · 2018-09-07 · "dispositivos inteligentes"), edificios y...
TRANSCRIPT
Bogotá, martes 05 de septiembre de 2017.
Dean CoclinIoT y SSL – El estado de la unión
Bogotá, miércoles 29 de agosto de 2018.
The Future?El futuro?
Como personas, usamos el internet de muchas maneras
Bogotá, miércoles 29 de agosto de 2018.
• Personal
• Bancos
• Compras
• Estudios
• Juegos
• Comunicación
• Entretenimiento
• Negocios
• Comunicación
• Procesamiento de Transacciones
• Presentaciones
• Solicitudes
• Investigando
• Contratando
Pero en IoT, las cosas se comunican con otras cosas
¿Qué es el internet de las cosas?
Bogotá, miércoles 29 de agosto de 2018.
El Internet de las cosas (IoT) es la interconexión de dispositivos físicos,
vehículos (también conocidos como "dispositivos conectados" y
"dispositivos inteligentes"), edificios y otros elementos integrados con
componentes electrónicos, software, sensores, actuadores y redes,
conectividad que permite a estos objetos recopilar e intercambiar datos.
“La base instalada de terminales IoT crecerá de 9.7 billones en 2014 a más de 25.6 billones
en 2019, llegando a 30 billones en 2020.“ - IDC*
*IDC Research, Inc., Worldwide Internet of Things Forecast Update, 2015-2019, Carrie MacGillivray, February 2016, IDC #US40983216
Bogotá, miércoles 29 de agosto de 2018.
The Future?
Beneficios de las “Cosas” que se comunican a través de Internet
Bogotá, miércoles 29 de agosto de 2018.
The Future?
• Acceso a información en tiempo real
• Actualizaciones automáticas de software
• Acceso remoto a dispositivos
• Transferencia de información
• Control remoto de dispositivos
• Los dispositivos pueden "hablar" entre sí por su autonomía
¿Qué puede salir mal?
Bogotá, miércoles 29 de agosto de 2018.
La Internet no siempre se ha usado de la manera que se pretendía:Hackeo de Automóviles
Bogotá, miércoles 29 de agosto de 2018.
Señales de tráfico Hackeadas
Bogotá, miércoles 29 de agosto de 2018.
The Future?
Dispositivos Médicos hackeados
Bogotá, miércoles 29 de agosto de 2018.
Es terriblemente fácil de hackear el equipo del hospital
“Todo fue probado, y la mayor parte fue hackeable.”
“Bombas de infusión de drogas . . quepueden ser manipuladas a distancia
“Ajustes de temperatura en refrigeradores que almacenan sangre y drogas que pueden reiniciarse”
“Rayos-X a los que pueden acceder personas externas”
“contraseñas débiles. . . contraseñas de
proveedores predeterminadas y
codificadas como 'admin' o '1234'; y
servidores web integrados e interfaces
administrativas que facilitan la
identificación y manipulación de
dispositivos”
Hackeo de juguetes
Bogotá, miércoles 29 de agosto de 2018.
If You Have One Of These Toys In Your House, You May Want To Stop Using It
More than 800,000 users are affectedSi tiene uno de estos juguetes en su casa, es posible que desee dejar de usarlo
Más de 800,000 usuarios fueron afectados
Las prácticas descuidadas de seguridad de datos en una
compañía de juguetes que vende una línea de animales de
peluche conectados a Internet han expuesto la información
personal de más de 800,000 clientes y aproximadamente 2
millones de grabaciones de voz, muchas de ellas de niños.
Ese suave oso de peluche parece inofensivo, hasta que los
hackers puedan usarlo para espiar a sus hijos.
“Pero desde al menos el día de
Navidad del año pasado, la
información en el servidor
CloudPets -incluida la
información de inicio de sesión y
contraseña de los clientes y las
grabaciones de voz- se
almacenó en una base de datos
expuesta a la que cualquier
persona en Internet podía ver
fácilmente.”
Amazon dejará de vender juguetes conectados con problemas de seguridad
“La ciberseguridad no es un juego de niños”
¿El principal plato para llevar? Piénselo dos veces antes de darle la bienvenida a su hogar con cualquier
dispositivo conectado a Internet, especialmente aquellos con los que los niños puedan interactuar regularmente.
Source: Huffington Post 02/27/17 and CNet.com 06/05/18
¿Por qué los dispositivos de IoT son inseguros?
Bogotá, miércoles 29 de agosto de 2018.
The Future?
• Los fabricantes carecen de experiencia en ciberseguridad (¡y la seguridad es difícil!).
• Los costos de seguridad pueden ser prohibitivos.
• Los dispositivos personales están diseñados para ser fáciles de usar, sacrificando la seguridad.
• La Ciberseguridad a veces es sacrificada por conveniencia.
• Los estándares en competencia pueden ser difíciles de navegar, creando "puntos ciegos" de seguridad.
• Para muchos dispositivos de consumo, el tiempo de comercialización y el costo rigen sobre la seguridad.
• Algunos dispositivos usan contraseñas predeterminadas de fábrica.
• Incapacidad para aplicar parches para la seguridad.
• No o cifrado débil.
• Falta de pruebas de penetración y análisis de vulnerabilidad antes del despliegue.
• API desprotegidas.
• Fugas de datos privados.Fuentes: Departamento de Seguridad Nacional, OCIA. Informe de Forrester sobre la seguridad del IoT Oct 2017
La tríada de ciberseguridad
Bogotá, miércoles 29 de agosto de 2018.
C.I.D.
Disponibilidad
Bogotá, miércoles 29 de agosto de 2018.
•
•
•
•
•
Internet de las cosas - Tipos de ataques
Bogotá, miércoles 29 de agosto de 2018.
The Future?
• Demanda de rescate: hace que los datos valiosos sean inutilizables a
menos que se pague un rescate.
• Robar Información: robar información personal o privada y venderla en
la Dark Web.
• Acceso a dispositivos remotos: acceso a dispositivos controlados de
forma remota, como cámaras de seguridad o monitores para bebés.
Mirai y el ataque DDoS contra Dyn
Bogotá, miércoles 29 de agosto de 2018.
• Cómo funciona Mirai: explora continuamente dispositivos IoT protegidos
por credenciales predeterminadas de fábrica. Mirai infecta dispositivos
con malware convirtiéndolos en un bot que puede usarse en ataques
DDoS.
• Dispositivos en Riesgo: los enrutadores, DVR, cámaras de CCTV y
cualquier otro dispositivo "inteligente" conectado a internet están en
riesgo de tales ataques.
¡Pero luego pueden afectar la infraestructura crítica!
Seguridad básica para dispositivos IoT
Bogotá, miércoles 29 de agosto de 2018.
Confianza Electrónica
Bogotá, miércoles 29 de agosto de 2018.
The Future?
Privacidadto keep information private
Autenticaciónto prove the identity of an individual or an application
Integridadto prove that information has not been manipulated
No-repudioto ensure that information cannot be disowned
Encripción
Certificados
Firmas Digitales
Firmas Digitales y Certificados
Criptografía de Clave Pública
¿Cómo los certificados juegan un papel en la protección de dispositivos de IoT?
Bogotá, miércoles 29 de agosto de 2018.
• Autenticación fuerte del dispositivo.
• Habilitar el cifrado entre los puntos finales.
• Firma digital del código utilizado en dispositivos IoT.
Cosas para considerar
Bogotá, miércoles 29 de agosto de 2018.
• “Debería estar conectado” – NO “Se puede conectar”.
• Pensar en la seguridad en el IoT es una necesidad y un facilitador, no
una carga o un impuesto.
• Suponga que las personas harán lo incorrecto – piense en cómo se
puede usar algo y no en cómo desea que se use.
Bogotá, martes 05 de septiembre de 2017.
Tendencias de la industria SSLActualización 2018
Desde que entró en vigencia la interfaz de usuario del navegador en el tratamiento de http ...
Bogotá, miércoles 29 de agosto de 2018.
The Future?de páginas cargadas en
Chrome sobre https.
de páginas cargadas en
Android sobre https
https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html
Cambios en Chrome
Bogotá, miércoles 29 de agosto de 2018.
https://blog.chromium.org/2018/05/evolving-chromes-security-indicators.html
Tratamiento de páginas http en Chrome 70 (octubre)
Bogotá, miércoles 29 de agosto de 2018.
https://blog.chromium.org/2018/05/evolving-chromes-security-indicators.html
Apple cambia a Safari EV UI
Bogotá, miércoles 29 de agosto de 2018.
The Future?
• Cambiando de Apple Inc. (Nombre de la Compañia) a apple.com (Nombre del Dominio).
• Mantendrá el candado verde al lado del nombre.
Cuota de mercado del navegador
Bogotá, miércoles 29 de agosto de 2018.
Chrome59%
Safari15%
Firefox7%
IE7%
Other12%
Navegador
Chrome Safari Firefox IE Other
Fuente: WSJ Feb 2018
Confianza Pública, observable – Certificados TLS
Bogotá, miércoles 29 de agosto de 2018.
• 32.6 millones de certificados en junio de 2018 - Informe de Netcraft• +13.2 millones desde junio de 2017 (+68%)
• +27.2 millones desde junio de 2016 (+500%)
• La mayor parte del crecimiento proviene de las ofertas de Let's Encrypt y cPanel• >24.8M certificados
• 81% de DV, 76% de todos
• El mercado de EV aumenta un 21.1% desde junio de 2017
Fuente: Netcraft Data
Desglose por tipos de certificado
Bogotá, miércoles 29 de agosto de 2018.
The Future?
DV; 94,30%
OV; 5% EV; 0,70%
TIPO DE CERTIFICADO
Source: Netcraft Data
Porcentaje de tráfico por tipo de producto
Bogotá, miércoles 29 de agosto de 2018.
OV; 49%
DV; 37,9%
EV; 13,2%
TIPO DE CERTIFICADO
Fuente: Comscore y Netcraft Data, analizado por DigiCert
Porcentaje de transacciones de E-Commerce por tipo de certificado
Bogotá, miércoles 29 de agosto de 2018.
34%
33%
33%
TIPO DE CERTIFICADO
DV OV EV
Fuente: Comscore y Netcraft Data, analizado por DigiCert
Posición de mercado de DigiCert
Bogotá, miércoles 29 de agosto de 2018.
The Future?
• Certificados de DigiCert más utilizados por
sitios de alto tráfico.
• Let's Encrypt (IdenTrust) y Comodo
utilizados por más sitios pero mucho
menos tráfico.
Desglose de certificados por país (marzo de 2018)
Bogotá, miércoles 29 de agosto de 2018.
País DV OV EV
Argentina 96.7% 2.8% .5%
Brazil 96.3% 3.3% .4%
Canada 96.0% 3.5% .5%
Chile 97.8% 1.6% .6%
Colombia 88.7% 7.8% 3.5%
Mexico 77.8% 17.7% 4.5%
USA 92.7% 6.7% .6%
Actualización de phishing
Bogotá, miércoles 29 de agosto de 2018.
Digicert
Bogotá, miércoles 29 de agosto de 2018.
The Future?Cuidamos a nuestros
clientes y personas
Hacemos lo correcto
para la seguridad digital
Resolvemos problemas
con innovación técnica
Bogotá, martes 05 de septiembre de 2017.
Dean CoclinDirector de desarrollo de Negocios de Digicert
Gracias!