Archivo de la etiqueta: cifrado

Fantasmas y puertas traseras. Cruda realidad y futuro.


Autor: Rik Ferguson,
Vicepresidente de Investigación y Seguridad de Trend Micro

Últimamente, se ha hablado mucho sobre la Agencia Nacional de Seguridad estadounidense  (NSA) y su nivel de participación en los sistemas de cifrado en el mundo de la seguridad y de la criptografía.

Se han publicado varios artículos sobre los últimos avances  en tecnologías de criptoanálisis de la Agencia. El hecho de que la NSA haya estado impulsando la Criptografía de Curva Elíptica podría también entenderse como un indicador de que les gustaría que todos tengan mayor confianza en su seguridad y, por lo tanto, será más probable que la utilicen.

 

NSA

Por supuesto, está dentro de los límites de lo posible que la generalización de algoritmos tales como RSA y Diffie-Hellamn ya han sido comprometidos por cualquier agencia que tenga una gran capacidad de talento y el presupuesto correspondiente. Agencias como NSA tienen la ventaja de que son libres para utilizar toda la investigación que procede de su academia, pero, por supuesto, no están obligadas a compartirla, a nivel particular si se considera que no representa ninguna ventaja para la seguridad nacional.

No olvidemos que los algoritmos equivalentes tanto de Diffie-Hellamn y RSA Key Exchange en realidad fueron descritos en GCHQ de Gran Bretaña, pero se mantuvieron clasificados, y los descubrimientos académicos por separado vinieron después. Lo que me sorprende es que ¿NSA ha invertido importantes cantidades de dinero y recursos humanos sólo para mantener una ventaja en criptográfica? Definitivamente, no.

Una de las maneras más eficaces  para superar medidas de seguridad como el cifrado es que la tecnología subyacente se vea comprometida, quizá esto es lo que representa un mayor riesgo para los usuarios medios de Internet.

Mientras que un sistema o tecnología backdoor (ataque informático que permite acceder de forma remota a un host-víctima ignorando los procedimientos de autenticación y facilitando el acceso a la información del usuario sin su conocimiento) pueda ser utilizado con el objetivo de un programa de vigilancia, tiene potencialmente la misma probabilidad de ser utilizado por cualquier otra entidad individual o corporativa. Ese otro usuario puede no estar interesado en las agencias de seguridad de Estados Unidos, sin embargo, el hecho de que se hayan visto obligados a utilizar un sistema fundamentalmente débil deja mucho más abierto el campo a los ataques de otros Estados o de organizaciones de inteligencia.

Sería ingenuo pensar que otros países, a los que NSA puede considerar hostiles o adversarios (aunque ese término parezca estar aplicado a cualquiera que no esté al servicio de la NSA), no dedican recursos similares exactamente al mismo tipo de programa. Tal vez esto explica, en cierta medida, la actual condena en los círculos de inteligencia de Estados Unidos de que el hardware de red de origen chino que se suministra con varias debilidades indocumentadas y puertas traseras, sea como el  ladrón que quiere atrapar a otro ladrón.

Las debilidades diseñadas intencionadamente son un anatema para la seguridad efectiva y, por definición, hacen más difícil el desarrollo de un producto o servicio fundamentalmente seguro, sobre todo si esas debilidades se insertan en la base de la arquitectura de seguridad, como es el caso de sistemas operativos o, incluso, estándares criptográficos y algoritmos. La ley de las consecuencias no intencionadas indica que esas mismas debilidades bien podrían dar lugar a importantes «daños colaterales» y pérdida de propiedad intelectual comercial que, de otro modo, hubieran sido decisivas para mantener a los ciudadanos y a la nación seguras. A pesar de que la gran mayoría de usuarios de Internet y, por desgracia, una gran parte de las empresas comerciales aún no han hecho del cifrado una parte madura de su apartado de valores (con la posible excepción de las tecnologías VPN).

Estas últimas revelaciones del saco aparentemente sin fondo del Sr. Snowden pueden servir para socavar la confianza pública en la tecnología proporcionada por algunas empresas de seguridad, particularmente aquellas con operaciones en Estados Unidos, aunque tal vez ésta sea una reacción demasiado extrema. Valorémoslas a la luz de las revelaciones anteriores; si la NSA tenía la capacidad de descifrar, por ejemplo, el tráfico cifrado SSL a voluntad y de forma instantánea, entonces, no habría habido necesidad del programa PRISM antes detallado. En la mayoría de los casos, en el acceso a los sistemas del puesto de trabajo, parece que todavía es necesario para acceder a los datos, ya sea antes o después del proceso de cifrado/descifrado.

Un resultado más probable es que estas revelaciones propicien una nueva investigación sobre la aplicación práctica más eficiente de la criptografía simétrica y la distribución de claves para compartir secretos, así como una mayor incorporación de los marcos de código abierto en las tecnologías de cifrado comercial. El escrutinio de la población debería servir como confirmación de que el código subyacente no ha sido alterado de ninguna manera con intenciones maliciosas. Sin duda, muchas de las futuras innovaciones se centrarán en las aplicaciones prácticas de cifrado homomórfico, que permite que los datos cifrados sean procesados sin necesidad de ser totalmente descifrados, neutralizando la efectividad de cualquier compromiso directo del puesto de trabajo.

Mientras la NSA tenga niveles de acceso al flujo de datos a través de Internet sin precedentes, ya sean cifrados o no, lo que supone irrumpir en cualquier sistema o red que elijan, no olvidemos la promesa de Snowden de “el cifrado funciona”. Yo añadiré, si me lo permiten, “por ahora”.

 

Trend Micro adquiere Mobile Armor y amplía su portfolio de protección de datos

Por Iberia Marketing Team

Trend Micro ha anunciado la  firma de un acuerdo definitivo de compra del innovador especialista de protección de datos, Mobile Armor, con el objetivo de ampliar su portfolio de producto para la protección de datos. Con sede en St. Louis, Missouri, Mobile Armor es el principal propietario de Dolphin Equity of New York, New York. Los términos económicos de la operación no han sido revelados. La operación, que está sujeta a determinadas condiciones de cierre, incluyendo las aprobaciones regulatorias, se espera que quede cerrada antes del 31 de diciembre de 2010.

La oferta para protección de datos de Mobile Armor, suministra encriptación para endpoints en  disco completo, archivos/carpetas y dispositivos extraíbles. Esto complementará las soluciones de prevención de fuga de datos, de encriptación de email y encriptación cloud de Trend Micro. Esta adquisición fomenta el liderazgo de Trend Micro en protección de datos y encriptación desde el endpoint a la nube para todos los clientes de los segmentos de mercado más importantes. Las Pymes, la gran cuenta, así como las organizaciones gubernamentales recibirán una protección de datos sin precedentes y gestionada de forma centralizada mientras se benefician de una mayor flexibilidad y efectividad de la capa de protección mediante la encriptación de datos sin importar dónde residan éstos.

La protección de datos se ha convertido en una preocupación creciente para las empresas. IDC estima que el mercado de encriptación del endpoint experimentará crecimientos del 14% anual CAGR hasta 2014. Tanto los Estados como los gobiernos nacionales están promulgando regulaciones cada vez más estrictas, tales como HITCH Act, de USA; Data Protection Act, de Reino Unido; o las Federal Data Protection Act de Alemania. Junto al Estándar de Seguridad de Datos de la Industria de las Tarjetas de Pago (PCI DSS), tales normativas están impulsando la necesidad de encriptar la información sensible y proteger la privacidad. El aumento de la frecuencia y el coste de las brechas de datos también están acelerando la adopción de la encriptación en un esfuerzo de las organizaciones por mitigar los riesgos y proteger la información sensible del acceso no autorizado.
“Esta compra ampliará nuestro radio de acción en el mercado de seguridad para el endpoint y proporcionará a nuestros clientes tecnología probada para la encriptación de datos en laptops, tablet PCs y smartphones. Las soluciones de Mobile Armor amplían nuestra visión de proteger la información digital allá donde resida y complementa el reciente anuncio de Trend Micro SecureCloud para asegurar y controlar los datos en la nube”, explica Eva Chen, CEO de Trend Micro. “La suite de encriptación de endpoint de Mobile Armor mejorará nuestro catálogo de protección de datos para la era del cloud computing”.

“Los compradores que son conscientes sobre la importancia de la seguridad están seguros de que la solución de Mobile Armor está reforzada, analizada y probada para suministrar la calidad, las certificaciones y las funciones de seguridad críticas que otras soluciones de seguridad de datos no tienen. Para los clientes, vemos que Mobile Armor complementa la estrategia de protección de datos de Trend Micro y contribuye a las iniciativas de seguridad cloud y móviles de esta compañía. El alcance mundial y los amplios recursos de Trend Micro aportarán valor añadido a la base de clientes de Mobile Armor”, asegura Michael Menegay, CEO de Mobile Armor.
“Diversas fuentes estiman que cada año, cientos de miles de equipos portátiles, teléfonos y dispositivos extraíbles desaparecen por pérdida o robo para tener sus datos copiados sin consentimiento, y ser actualizados o intercambiados sin tener sus datos eliminados”, según revela un reciente informe de Gartner*. “La protección de datos móviles (MDP) es un complemento atractivo para las suites de producto para la protección del endpoint (EPP), que ya abarca los sistemas antivirus empresariales (AV), anti-spyware, firewall personal y sistemas de prevención de intrusiones para hosts en el desktop”.

*Gartner, Inc., Cuadrante Mágico para Protección de Datos Móviles, John Girard, Eric Ouellet, Septiembre 7, 2010.
Acerca de Mobile Armor:
Mobile Armor, Incorporated es una compañía innovadora líder en tecnología de encriptación de datos y de gestión de dispositivos móviles. Proporciona soluciones de seguridad de datos fiables desarrolladas internamente para organizaciones comerciales y gubernamentales. Entres sus clientes más destacados se encuentran el Ejército y la Marina de Estados Unidos, organismos civiles, clientes en el sector sanitario y financiero. La suite Data Encryption & Device Management de Mobile Armor es una solución de gestión centralizada y completamente integrada con el hardware y la solución de encriptación de software para equipos de escritorio, portátiles, smartphones, CDs/DVDs y dispositivos USB. Mobile Armor posee el codiciado galardón DoD Data at Rest Tiger Team, permitiendo que su solución sea vendida al gobierno de EE.UU. La tecnología de Mobile Armor es FIPS 140-2 Level 2 y 3 validada y está certificada para cumplir con las normativas de seguridad establecidas por el Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos. Asimismo, se encuentra en la revisión final de Common Criteria Evaluation Assurance Level 4+ (EAL-4+) Certification.