presentación de powerpoint · 2018-09-07 · "dispositivos inteligentes"), edificios y...

Bogotá, martes 05 de septiembre de 2017.

Dean CoclinIoT y SSL – El estado de la unión

Bogotá, miércoles 29 de agosto de 2018.

The Future?El futuro?

Como personas, usamos el internet de muchas maneras


• Personal

• Bancos

• Compras

• Estudios

• Juegos

• Comunicación

• Entretenimiento

• Negocios

• Comunicación

• Procesamiento de Transacciones

• Presentaciones

• Solicitudes

• Investigando

• Contratando

Pero en IoT, las cosas se comunican con otras cosas

¿Qué es el internet de las cosas?


El Internet de las cosas (IoT) es la interconexión de dispositivos físicos,

vehículos (también conocidos como "dispositivos conectados" y

"dispositivos inteligentes"), edificios y otros elementos integrados con

componentes electrónicos, software, sensores, actuadores y redes,

conectividad que permite a estos objetos recopilar e intercambiar datos.

“La base instalada de terminales IoT crecerá de 9.7 billones en 2014 a más de 25.6 billones

en 2019, llegando a 30 billones en 2020.“ - IDC*

*IDC Research, Inc., Worldwide Internet of Things Forecast Update, 2015-2019, Carrie MacGillivray, February 2016, IDC #US40983216


The Future?

Beneficios de las “Cosas” que se comunican a través de Internet


The Future?

• Acceso a información en tiempo real

• Actualizaciones automáticas de software

• Acceso remoto a dispositivos

• Transferencia de información

• Control remoto de dispositivos

• Los dispositivos pueden "hablar" entre sí por su autonomía

¿Qué puede salir mal?


La Internet no siempre se ha usado de la manera que se pretendía:Hackeo de Automóviles


Señales de tráfico Hackeadas


The Future?

Dispositivos Médicos hackeados


Es terriblemente fácil de hackear el equipo del hospital

“Todo fue probado, y la mayor parte fue hackeable.”

“Bombas de infusión de drogas . . quepueden ser manipuladas a distancia

“Ajustes de temperatura en refrigeradores que almacenan sangre y drogas que pueden reiniciarse”

“Rayos-X a los que pueden acceder personas externas”

“contraseñas débiles. . . contraseñas de

proveedores predeterminadas y

codificadas como 'admin' o '1234'; y

servidores web integrados e interfaces

administrativas que facilitan la

identificación y manipulación de

dispositivos”

Hackeo de juguetes


If You Have One Of These Toys In Your House, You May Want To Stop Using It

More than 800,000 users are affectedSi tiene uno de estos juguetes en su casa, es posible que desee dejar de usarlo

Más de 800,000 usuarios fueron afectados

Las prácticas descuidadas de seguridad de datos en una

compañía de juguetes que vende una línea de animales de

peluche conectados a Internet han expuesto la información

personal de más de 800,000 clientes y aproximadamente 2

millones de grabaciones de voz, muchas de ellas de niños.

Ese suave oso de peluche parece inofensivo, hasta que los

hackers puedan usarlo para espiar a sus hijos.

“Pero desde al menos el día de

Navidad del año pasado, la

información en el servidor

CloudPets -incluida la

información de inicio de sesión y

contraseña de los clientes y las

grabaciones de voz- se

almacenó en una base de datos

expuesta a la que cualquier

persona en Internet podía ver

fácilmente.”

Amazon dejará de vender juguetes conectados con problemas de seguridad

“La ciberseguridad no es un juego de niños”

¿El principal plato para llevar? Piénselo dos veces antes de darle la bienvenida a su hogar con cualquier

dispositivo conectado a Internet, especialmente aquellos con los que los niños puedan interactuar regularmente.

Source: Huffington Post 02/27/17 and CNet.com 06/05/18

¿Por qué los dispositivos de IoT son inseguros?


The Future?

• Los fabricantes carecen de experiencia en ciberseguridad (¡y la seguridad es difícil!).

• Los costos de seguridad pueden ser prohibitivos.

• Los dispositivos personales están diseñados para ser fáciles de usar, sacrificando la seguridad.

• La Ciberseguridad a veces es sacrificada por conveniencia.

• Los estándares en competencia pueden ser difíciles de navegar, creando "puntos ciegos" de seguridad.

• Para muchos dispositivos de consumo, el tiempo de comercialización y el costo rigen sobre la seguridad.

• Algunos dispositivos usan contraseñas predeterminadas de fábrica.

• Incapacidad para aplicar parches para la seguridad.

• No o cifrado débil.

• Falta de pruebas de penetración y análisis de vulnerabilidad antes del despliegue.

• API desprotegidas.

• Fugas de datos privados.Fuentes: Departamento de Seguridad Nacional, OCIA. Informe de Forrester sobre la seguridad del IoT Oct 2017

La tríada de ciberseguridad


C.I.D.

Disponibilidad


•

•

•

•

•

Internet de las cosas - Tipos de ataques


The Future?

• Demanda de rescate: hace que los datos valiosos sean inutilizables a

menos que se pague un rescate.

• Robar Información: robar información personal o privada y venderla en

la Dark Web.

• Acceso a dispositivos remotos: acceso a dispositivos controlados de

forma remota, como cámaras de seguridad o monitores para bebés.

Mirai y el ataque DDoS contra Dyn


• Cómo funciona Mirai: explora continuamente dispositivos IoT protegidos

por credenciales predeterminadas de fábrica. Mirai infecta dispositivos

con malware convirtiéndolos en un bot que puede usarse en ataques

DDoS.

• Dispositivos en Riesgo: los enrutadores, DVR, cámaras de CCTV y

cualquier otro dispositivo "inteligente" conectado a internet están en

riesgo de tales ataques.

¡Pero luego pueden afectar la infraestructura crítica!

Seguridad básica para dispositivos IoT


Confianza Electrónica


The Future?

Privacidadto keep information private

Autenticaciónto prove the identity of an individual or an application

Integridadto prove that information has not been manipulated

No-repudioto ensure that information cannot be disowned

Encripción

Certificados

Firmas Digitales

Firmas Digitales y Certificados

Criptografía de Clave Pública

¿Cómo los certificados juegan un papel en la protección de dispositivos de IoT?


• Autenticación fuerte del dispositivo.

• Habilitar el cifrado entre los puntos finales.

• Firma digital del código utilizado en dispositivos IoT.

Cosas para considerar


• “Debería estar conectado” – NO “Se puede conectar”.

• Pensar en la seguridad en el IoT es una necesidad y un facilitador, no

una carga o un impuesto.

• Suponga que las personas harán lo incorrecto – piense en cómo se

puede usar algo y no en cómo desea que se use.


Tendencias de la industria SSLActualización 2018

Desde que entró en vigencia la interfaz de usuario del navegador en el tratamiento de http ...


The Future?de páginas cargadas en

Chrome sobre https.

de páginas cargadas en

Android sobre https

https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html

Cambios en Chrome


https://blog.chromium.org/2018/05/evolving-chromes-security-indicators.html

Tratamiento de páginas http en Chrome 70 (octubre)


https://blog.chromium.org/2018/05/evolving-chromes-security-indicators.html

Apple cambia a Safari EV UI


The Future?

• Cambiando de Apple Inc. (Nombre de la Compañia) a apple.com (Nombre del Dominio).

• Mantendrá el candado verde al lado del nombre.

Cuota de mercado del navegador


Chrome59%

Safari15%

Firefox7%

IE7%

Other12%

Navegador

Chrome Safari Firefox IE Other

Fuente: WSJ Feb 2018

Confianza Pública, observable – Certificados TLS


• 32.6 millones de certificados en junio de 2018 - Informe de Netcraft• +13.2 millones desde junio de 2017 (+68%)

• +27.2 millones desde junio de 2016 (+500%)

• La mayor parte del crecimiento proviene de las ofertas de Let's Encrypt y cPanel• >24.8M certificados

• 81% de DV, 76% de todos

• El mercado de EV aumenta un 21.1% desde junio de 2017

Fuente: Netcraft Data

Desglose por tipos de certificado


The Future?

DV; 94,30%

OV; 5% EV; 0,70%

TIPO DE CERTIFICADO

Source: Netcraft Data

Porcentaje de tráfico por tipo de producto


OV; 49%

DV; 37,9%

EV; 13,2%

TIPO DE CERTIFICADO

Fuente: Comscore y Netcraft Data, analizado por DigiCert

Porcentaje de transacciones de E-Commerce por tipo de certificado


34%

33%

33%

TIPO DE CERTIFICADO

DV OV EV

Fuente: Comscore y Netcraft Data, analizado por DigiCert

Posición de mercado de DigiCert


The Future?

• Certificados de DigiCert más utilizados por

sitios de alto tráfico.

• Let's Encrypt (IdenTrust) y Comodo

utilizados por más sitios pero mucho

menos tráfico.

Desglose de certificados por país (marzo de 2018)


País DV OV EV

Argentina 96.7% 2.8% .5%

Brazil 96.3% 3.3% .4%

Canada 96.0% 3.5% .5%

Chile 97.8% 1.6% .6%

Colombia 88.7% 7.8% 3.5%

Mexico 77.8% 17.7% 4.5%

USA 92.7% 6.7% .6%

Actualización de phishing


Digicert


The Future?Cuidamos a nuestros

clientes y personas

Hacemos lo correcto

para la seguridad digital

Resolvemos problemas

con innovación técnica


Dean CoclinDirector de desarrollo de Negocios de Digicert

Gracias!

presentación de powerpoint · 2018-09-07 · "dispositivos inteligentes"), edificios y...

Documents