Presentación "Nuevos retos en seguridad", de Manuel Carpio (Dtor. Seguridad de la Información y Prevención del Fraude de Telefónica), en la 1ª Jornada Cátedras Telefónica en la UPM "Movilidad y Seguridad en la Sociedad-Red" (10 de Noviembre de 2009)
1. Nuevos retos en seguridad
Telefónica, S.A.
Dirección de Servicios Corporativos
10 Noviembre 2009
2. Índice
01 Las edades de la seguridad
02 Nuevos retos de seguridad
03 El último grito
Telefónica, S.A.
Dirección de Servicios Corporativos
3. 01 Las edades de la seguridad
Seguridad 1.0
Tecnología y procesos
Seguridad Física
Alta Disponibilidad
Diversidad
Continuidad
Seguridad por diseño
Defensa pasiva
Castillo templario en “La Iruela”
Telefónica, S.A.
Dirección de Servicios Corporativos
4. 01 Las edades de la seguridad
Seguridad 1.0
Robo de cable
Aplicación Aplicación
Presentación Presentación
Sesión Sesión
Transporte Transporte
Red Red Red
Enlace Enlace Enlace
Físico Físico Físico
Telefónica, S.A.
Dirección de Servicios Corporativos
5. 01 Las edades de la seguridad
Seguridad 1.0
Falsificación de equipos
Aplicación Aplicación
Presentación Presentación
Sesión Sesión
Transporte Transporte
Red Red Red
Enlace Enlace Enlace
Físico Físico Físico
Telefónica, S.A.
Dirección de Servicios Corporativos
6. 01 Las edades de la seguridad
Seguridad 2.0
Fallos en protocolos de red
Aplicación Aplicación
Presentación Presentación
Sesión Sesión
Transporte Transporte
Red Red Red
Enlace Enlace Enlace
Físico Físico Físico
Telefónica, S.A.
Dirección de Servicios Corporativos
7. 01 Las edades de la seguridad
Seguridad 2.0
Fallos en protocolos de red
Aplicación Aplicación
Presentación Presentación
Sesión Sesión
Transporte Transporte
Red Red Red
Enlace Enlace Enlace
Físico Físico Físico
Telefónica, S.A.
Dirección de Servicios Corporativos
8. 01 Las edades de la seguridad
Seguridad 2.0
John Draper
Telefónica, S.A.
Dirección de Servicios Corporativos
9. 01 Las edades de la seguridad
Seguridad 2.0
Inyección SQL
Aplicación Aplicación
Presentación Presentación
Sesión Sesión
Transporte Transporte
Red Red Red
Enlace Enlace Enlace
Físico Físico Físico
Telefónica, S.A.
Dirección de Servicios Corporativos
10. 01 Las edades de la seguridad
Seguridad 2.0
Aplicación
Presentación
Sesión
Transporte
Red Red
Enlace Enlace
Físico Físico
Telefónica, S.A.
Dirección de Servicios Corporativos
11. 01 Las edades de la seguridad
Seguridad 2.0
Phising
Negocio
Usuario
Aplicación Aplicación
Presentación Presentación
Sesión Sesión
Transporte Transporte
Red Red Red
Enlace Enlace Enlace
Físico Físico Físico
Telefónica, S.A.
Dirección de Servicios Corporativos
12. 01 Las edades de la seguridad
Seguridad 2.0
Brand harm?
Negocio
Usuario
Aplicación Aplicación
Presentación Presentación
Sesión Sesión
Transporte Transporte
Red Red Red
Enlace Enlace Enlace
Físico Físico Físico
Telefónica, S.A.
Dirección de Servicios Corporativos
13. 01 Las edades de la seguridad
Seguridad 2.0 Tecnología y procesos
Planificación, adquisición y despliegue
Firewall
Integración (Desarrollo)
Proxies Provisión de servicios
IDSs Gestión de la infraestructura de seguridad (Administración)
AntiVirus Remediación (Actualización)
AntiMalware
Reacción (Gestión de indicentes)
AntiSpam Auditoría
Virtualización Medida
VPNs
HoneyPots
SingleSignOn
Hacking ético
Gestión parches
Tokens
PKI
IdentityManagement
Cifrado de disco Consola de auditoria
y control
Control ejecución
Telefónica, S.A.
Dirección de Servicios Corporativos
14. 02 Nuevos retos en seguridad
Seguridad 3.0
Problema Explicación breve
1 La hipótesis del continuo (esto es, no existe conjunto cuyo tamaño esté estrictamente entre el de los enteros y el de los números reales)
2 Probar que los axiomas de la aritmética son consistentes (esto es, que la aritmética es un sistema formal que no supone una
contradicción).
3 Dados dos poliedros de igual volumen, ¿es siempre posible cortar el primero en una cantidad finita de piezas poliédricas que puedan ser
ensambladas de modo que quede armado el segundo?
4 Construir todas las métricas cuyas rectas sean geodésicas.
5 ¿Son los grupos continuos grupos diferenciales de forma automática?
6 Axiomatizar toda la física
7 ¿Es a b trascendental, siendo a ≠ 0,1 algebraico y b irracional algebraico?
8 La hipótesis de Riemann (la parte real de cualquier cero no trivial de la función zeta de Riemann es ½) y la conjetura de Goldbach (cada
número par mayor que 2 se puede escribir como la suma de dos números primos).
9 Encontrar la ley más general del teorema de reciprocidad en cualquier cuerpo numérico algebraico
10 Encontrar un algoritmo que determine si una ecuación diofántica polinómica dada con coeficientes enteros tiene solución entera.
11 Resolver las formas cuadráticas con coeficientes numéricos algebraicos.
12 Extender el teorema de Kronecker sobre extensiones abelianas de los números racionales a cualquier cuerpo numérico de base.
13 Resolver todas las ecuaciones de 7º grado usando funciones de dos parámetros.
14 Probar la finitud de ciertos sistemas completos de funciones.
15 Fundamento riguroso del cálculo enumerativo de Schubert.
16 Topología de las curvas y superficies algebraicas.
17 Expresión de una función definida racional como cociente de sumas de cuadrados
18 ¿Existe un poliedro irregular y que construya otros poliedros? ¿Cual es el apilamiento compacto más denso?
19 ¿Son siempre analíticas las soluciones de los Lagrangianos?
20 ¿Tienen solución todos los problemas variacionales con ciertas condiciones de contorno?
21 Probar la existencia de ecuaciones lineales diferenciales que tengan un grupo monodrómico prescrito
David Hilbert
22 Uniformización de las relaciones analíticas por medio de funciones automórficas
23 Extensión de los métodos del cálculo de variaciones
Telefónica, S.A.
Dirección de Servicios Corporativos
15. 02 Nuevos retos en seguridad Problema 1
Seguridad 3.0 La seguridad en el “internet de las cosas”
H2H
HC2CH
Internet de las personas
H2T
Tipos de dispositivos RFID
Pasivos. Identificación.
T2T
Pasivos. Informan sobre tiempo y posición
Activos. Estado y condiciones del entorno
Internet de las cosas
Activos. Capacidad proceso y toma de decisión
Telefónica, S.A.
Dirección de Servicios Corporativos
16. 02 Nuevos retos en seguridad Problema 1
Seguridad 3.0 La seguridad en el “internet de las cosas”
La guerra contra los robots ya ha comenzado,…y ellos van ganando!
El crecimiento exponencial del SPAM
y MALWARE detectado demuestra que
el aumento del correo durante 2008
es realmente correo sucio
Los incidentes por phishing y
troyanos continuan aumentando
frente a otro tipo de ataques en La
Red
Telefónica, S.A.
Dirección de Servicios Corporativos
17. 02 Nuevos retos en seguridad Problema 1
Seguridad 3.0 La seguridad en el “internet de las cosas”
Isaac Asimov Robert Morris Jr. Ray Kurzweil
En 1988 su “gusano” En 2029 los ordenadores
En 1942 publicó las 3
se le fue de las manos sobrepasarán la inteligencia
leyes de la robótica
y tumbó internet humana
Telefónica, S.A.
Dirección de Servicios Corporativos
18. 02 Nuevos retos en seguridad Problema 2
Seguridad 3.0 Detección temprana de vulnerabilidades
Vulnerabilidades Día Cero el 9/Nov/2009 Días
Nombre: Excel Invalid Object
Fabricante Microsoft
258
Aplicación Excel
Gravedad High
Nombre: Adobe PDF Buffer Overflow
Fabricante Adobe
263
Aplicación Acrobat
Gravedad High
Creative Software AutoUpdate Engine ActiveX stack buffer
Nombre: overflow
Fabricante Creative Labs 532
Aplicación Creative Labs AutoUpdate Engine ActiveX
Gravedad High
Nombre: Internet Connection Sharing DoS
Fabricante Microsoft
1108
Aplicación Windows
Gravedad Medium
Seguridad 2.0
Nombre: RPC Memory Exhaustion
Fabricante Microsoft
1454
Aplicación Windows
Gravedad Low
Telefónica, S.A.
Dirección de Servicios Corporativos
19. 02 Nuevos retos en seguridad Problema 2
Seguridad 3.0 Detección temprana de vulnerabilidades
Less than 0 Day
Exploit and vulnerability
Seguridad 3.0 Seguridad 2.0
Telefónica, S.A.
Dirección de Servicios Corporativos
20. 02 Nuevos retos en seguridad Problema 3
Seguridad 3.0 Detección temprana de amenazas internas
Telefónica, S.A.
Dirección de Servicios Corporativos
21. 02 Nuevos retos en seguridad Problema 3
Seguridad 3.0 Detección temprana de amenazas internas
Jerry Jalava usa su dispositivo de 2GB
para almacenar fotos, películas y
programas. El Sr. Javala ahora está
pensando en añadir capacidades wireless
Telefónica, S.A.
Dirección de Servicios Corporativos
22. 02 Nuevos retos en seguridad Problema 4
Seguridad 3.0 Privacidad en Web 2.0
Telefónica, S.A.
Dirección de Servicios Corporativos
23. 02 Nuevos retos en seguridad Problema 4
Seguridad 3.0 Privacidad en Web 2.0
Telefónica, S.A.
Dirección de Servicios Corporativos
24. 02 Nuevos retos en seguridad Problema 5
Seguridad 3.0 Medir la seguridad
Eugene Spafford
"El único sistema seguro es aquél que
está apagado en el interior de un bloque
de hormigón protegido en una
habitación sellada rodeada por guardias
armados”
Telefónica, S.A.
Dirección de Servicios Corporativos
25. 03 El último grito
EDRMs
Repositorio
Contenido identidades
Servidor de
Digital licencias
Licencia
Empaquetador
Codificador
Transferencia de Licencia Configuración
del derecho
Contenido
Protegido Servidor de
empaquetado
Transferencia Solicitud de
de contenido licencia
Usuario
Gestor
Servidor de Licencias
contenidos Reproducción
protegidos Stream Server Reproductor
Almacén de Web Server Navegador
contenidos Solicitud de
protegidos contenido
Telefónica, S.A.
Dirección de Servicios Corporativos
26. 03 El último grito
DLPs
¿Cuál es la ¿Dónde
¿De dónde viene ¿Qué pretende política para ese
la información? 2 hacer el usuario? 4 terminarán esa
1 usuario y esa 3 información?
información?
Contexto Acciones
Servidor Registrar
Directorio Alertar Dispositivos
Dispositivo Advertir
Aplicación
Avisar
Red Aplicaciones
Contenido Cifrar
Metadatos Bloquear
Nivel de Leer, escribir,
imprimir, copiar, Redes
clasificación
enviar, etc
Telefónica, S.A.
Dirección de Servicios Corporativos
27. 03 El último grito
Autodestrucción de datos
Alice Bob
This is sensitive stuff.
ISP
This is sensitive stuff.
This is sensitive stuff.
This is sensitive stuff.
This is sensitive stuff.
This is sensitive stuff. Sensi i e
tv
Senst i e
v
Sensi i e
tv
Senst i e
v
Sensi i e
tv
Senst i e
v
Sensi i e
tv
Senst i e
v
Sensi i e
tv Sensi i e
tv Sensi i e
tv Sensi i e
tv
Upload Copies User tries Retroactive
data archived to delete months or years attack begins
Time
Telefónica, S.A.
Dirección de Servicios Corporativos
28. 03 El último grito
Autodestrucción de datos
VDO = {C, L}
Vanish Data Object Decapsulate
data
VDO = {C, L} (VDO = {C, L})
Vanish L L Vanish
kN
k3
Random indexes
Random indexes
Secret World-Wide Secret
Sharing X Sharing
DHT k2 K
(M of N) . (M of N)
.
.
k1
C = EK(data) data = DK(C)
27
Telefónica, S.A.
Dirección de Servicios Corporativos
29. 03 El último grito
Sistemas Convergentes
Geolocalización Biometría
— IP fija —Iris
— GSM/3G —Cara
— Wifi 3 2 1 0 —Huella
— GPS
RFID+nanotecnologías Inteligencia F+L
—Control de accesos
—Abuso de sistemas
—Monitorización
—Calidad de servicio
Telefónica, S.A.
Dirección de Servicios Corporativos
30. 03 El último grito
Inteligencia
e1
s1 e7 s4
Decisión
Eventos
e8
e2
e4 e6
s3 s5
s2
e3
e5
Estados Correlación
Condiciones Reglas basada en reglas
Plazos Diagrama de relaciones
Acciones Minería de datos
Decisión
Eventos
Correlación
Patrones
Umbrales estadística
Entrenamiento
Sistemas neuronales
Gestión de casos
Telefónica, S.A.
Dirección de Servicios Corporativos
31. “Ryan, haz que esto haya merecido la pena”
— Cap. John H. Miller
Telefónica, S.A.
Dirección de Servicios Corporativos
32. Gracias por su atención
¿PREGUNTAS?
Telefónica, S.A.
Dirección de Servicios Corporativos