# La "casa Blanca" y "homeland" publicaron recomendaciones de seguridad.



## Hellmut1956 (Nov 19, 2016)

La casa blanca usando "NIST (National Institute of Standards and Technology)" y el departamento de seguridad del homeland publicaron recomendaciones sobre requerimientos para reducir la vulnerabilidad de sistemas IoT. Estas publicaciones fueron hechas debido al ataque hace poco a la infraestructura informática de gringolandia.

Esto recalca la importancia de considerar en las fases iniciales de un diseño la implementación de seguridad. Mi hilo sobre hipervisores trata de su uso para aislar y así proteger sistemas IoT. En estos tiempos el uso de la virtualización como método de protección en sistemas embebidos conectados a la red parece ser la dirección que la industria tomará. Como verifiqué visitando la feria de "electronica 2016" en Munich, la necesidad de implementar esto aún no es de conocimiento general. Creo que nosotros del mundo de habla cristiana debemos aprovechar el familiarizarnos con el tema entre los primeros!


----------



## capitanp (Nov 19, 2016)

oK...


----------



## Hellmut1956 (Nov 19, 2016)

El asunto en PCs, servidores y similares ya tiene unas 3 décadas! Lo nuevo y lo que impacta un gran número es el gigante número de componentes de IoT. Son sistemas embebidos como wearables, artículos blancos como el refrigerador, celulares y tabletas, automóviles y muchos mas que están o estarán conectados a la red! Recién gracias a que por ejemplo ARM introduce las funcionalidades requeridas para el aislamento por virtualización en los controladores ARM Cortex M23 y M33. Así el costo adicionalde diseñar una componente IoT con virtualización impacta la hardware de modo limitado. Pero el impacto en como programar los sistemas embebidos para ser virtualizados es nuevo!


----------



## Dr. Zoidberg (Nov 20, 2016)

Hellmut1956 dijo:


> El asunto en PCs, servidores y similares ya tiene unas 3 décadas! Lo nuevo y lo que impacta un gran número es el gigante número de componentes de IoT. Son sistemas embebidos como wearables, artículos blancos como el refrigerador, celulares y tabletas, automóviles y muchos mas que están o estarán conectados a la red! Recién gracias a que por ejemplo ARM introduce las funcionalidades requeridas para el aislamento por virtualización en los controladores ARM Cortex M23 y M33. Así el costo adicionalde diseñar una componente IoT con virtualización impacta la hardware de modo limitado. Pero el impacto en como programar los sistemas embebidos para ser virtualizados es nuevo!


Estimado Hellmut:
Ya lo conversamos hace un tiempo, pero los problemas no los van a solucionar con virtualización (que me parece que va a ser mas algo de paravirtualización...). Si lo que intentan es reducir el área de impacto de un ataque, van a lograr algo... que depende mucho del contexto de la aplicación, pero para dar soluciones consistentes van a tener que aplicar las técnicas que vos mismo comentas que tienen 30 años de análisis.
El uso de estos dispositivos en redes de seguridad controlada (por ejemplo, con un firewall stateful y un DMZ) es el primer paso a evitar y contener ataques. Ni hablemos de usar un firewall configurable dinámicamente mediante la acción de un IDS (que puede ser medio peligroso...).
Por otra parte, el diseño de las aplicaciones va a tener que considerar la seguridad desde el inicio, y no dejar que los "líricos" diseñen programas y arquitecturas de pseudo-redes donde los dispositivos exponen servicios de forma indiscriminada sin medidas no-tan-minimas de prevención y control.
Para conectarse a servicios remotos existen protocolos como el TLS que son capaces de autentificar ambos pares de la comunicación mediante el uso de certificados digitales... y esto se conoce desde hace mas de 15 años...
A mi juicio, si vuelve a ocurrir un problema con los dispositivos IoT como el informado por el CERT hace unas semanas, es por que no se tuvo en cuenta la seguridad de la instalación, por inocencia o por incompetencia, y no hay mucho mas que decir. Luego podremos analizar si la virtualización es verdaderamente útil para este contexto o nó, pero a mi juicio, es todo un invento comercial...


----------



## Hellmut1956 (Nov 21, 2016)

Gracias por tu honesta y bien documentada posición! El futuro nos dará una respuesta! Aquí en Alemania tengo la impresión que documento.


----------



## elgriego (Nov 21, 2016)

Dado el contexto actual de mi querido pais,lo que menos me preocupa ahora es un dispositivo de consumo masivo conectado a la red,en todo caso se lo desconecta y sigue funcionando a la antigua como lo ha hecho en estos casi 100 años.  Sin tecnologia se puede llegar a sobrevivir ,sin alimentos o con estos contaminados ,o adulterados por agrotoxicos,mas un contexto de descontento social cada dia mas exacerbado no solo en Argentina, sino en el mundo.   No olvidemos el resurgimiento de las ultraderechas en los paises centrales. Creo que la mayor preocupacion ahora como seres humanos, es sobrevivir como especie.

Saludos.


----------



## Hellmut1956 (Nov 22, 2016)

@el griego: En casi todo lo que escribes comparto tu opinión! Estamos viviendo en un mundo expuesto a cambios revolucionarios en muchos aspectos! En el siglo pasado cambios que probablemente son menores que aquellos a los cuales el mundo está expuesto hoy, requirió de 2 guerras mundiales, cantidades de guerras regionales, para llegar a lo que Alemania, responsable de muchas de las desgracias de ese siglo, llego después de la guerra! Lo llamamos aquí sociedad de mercados sociales, „Soziale Marktwirtschaft“! Allí era de común acuerdo, que seguridad social y legal, prosperidad económica y eso en un contexto democrático! Con el neo liberalismo la responsabilidad social del capital fue reemplazada por un capitalismo neo liberal que crea pocos muy ricos y el desmoronamiento de la clase media.
Hoy un gran número de personas en todo el mundo o teme caer de la clase media a la clase pobre, siente la injusticia que el gran número de ciudadanos pagan los impuestos y que los ricos pagan muy poco o nada! Esta inseguridad de muchos los hace susceptibles a las aparentemente fáciles y obvias soluciones de los populistas! En UK vimos como estos populistas, que ganaron el „Brexit“ no tenía plan alguno para que hacer si fueran a ganar! En USA las mismas razones llevaron a muchos dar su voto por Trump! Son tiempos difíciles para la gran mayoría de las personas!

Pero en vez de rezongar y quejarme, trato de propagar lo que en mi vida me permitió vivir de forma muy valiosa hasta el día de hoy, donde por razones de salud ya no puedo trabajar, donde gastar 13 Euros en una placa exige planear los gastos. Pero mi autoestima y el placer y la satisfacción que siento enfrentarme de forma constructiva y positiva a los retos que la vida me da, es primordial para seguir agradecido!

Yo creo en latinoamérica y su gente, en eso soy muy regionalista y nacionalista. Aunque de padres alemanes y de nacimiento guayaquileño, ecuatoriano y de una afinidad muy especial por Colombia donde hice los 6 años de bachillerato, de corazón soy latinoamericano! Cuando mas viejo y mas necio, mas añoro lo que representa latinoamerica para mi, una región de mucho calor humano.
Para volver al tema de este foro de forma mas explícita y para responder a „elgriego“, por una parte de lo que escribes comparto tu opinión, pero también creo en las capacidades de nosotros los „iberoamericanos“, para también incluir España y Portugal! Yo, por propia experiencia personal he vivido lo que significa adquirir conocimientos avanzados en el tema de la afición, la electrónica.

En el 80 empecé ganándome unos pesitos, deutschmark entonces, haciendo traducciones técnicas y trabajando de intérprete para una corporación alemana que construía grúas para el manipuleo de contenedores. Así desarrollé un concepto de apoyo al traductor, pero el proveedor me falló. Para ganar el pleito tuve que meterme a fondo en la electrónica y la informática. En ese contexto estudie los productos gráficos disponibles entonces, por ejemplo de NEC el 7220, un controlador gráfico. En esa época Texas Instruments salio con 34010 y National Semicondurctor con la familia de procesadores gráficos DP8500. Estudiando en especial el DP8500 me encontré con una falla conceptual en la definición de las instrucciones disponibles en el DP8500 y le expliqué a un FAE, ingeniero de apoyo técnico de National Semiconductor. Durante la reunión mundial anual de estos ingenieros en Santa Clara, CA, corazón del „Silicon Valley“, se presentaron exactamente los puntos que había descubierto y reportado. El resultado fué, que me ofrecieron un puesta de FAE para los productos de la familia DP8500. Aún tengo una carta que entonces le escribí a mi papá: Allí menciono que la empresa ponía a mi disposición un flamante BMW 5e y que me pagaban tremendo sueldo. Escribía que hiba a aprovechar restos ingresos hasta que acabaran de despedirme por incapaz! Era totalmente autodidacta! Allí empezaron casi 2 décadas de una carrera profesional.

Lo que quiero presentar dando como ejemplo mi propia vida es, que adquirir conocimientos avanzados abre las puertas de las carreras profesionales personales y que en suma crea las bases para que latinoamérica y sus gentes, con seguridad no menos capaces que la gente en Asia por ejemplo, prosperen. No el quejarse trae cambios, el esfuerzo personal eficiente es el camino en el que creo. El mundo vive una revolución también en la electrónica! Hace no muchos años el PC era la plataforma dominante para acceder al mundo informático. Hoy lo son los „smartphones“, las tabletas. Lo veo en mis hijos. La única excepción en mi hijo, que también gusta de las consolas PSP4 para jugar! Capacitarse para el mundo actual y futuro, no siendo de los últimos a adoptar conocimientos, sino el reconocer tendencias temprano y prepararse para ellas es lo que a mí me abrió el mundo profesional que quería y durante ese tiempo fuertes ingresos económicos!

Quien cre que lo que sirvió de conocimientos los últimos 50 años seguirá igual los próximos 50 debe ser muy valiente en enfrentarse al mundo! Yo estoy convencido que en un futuro muy próximo la gran mayoría de los productos de consumo y de los sistemas industriales serán sistemas conectados a la red. Hoy vemos como los países avanzados ven en el espacio „cyber“ el lugar donde las guerras futuras y algunas actuales tienen lugar! También Alemania esta estableciendo e invirtiendo de forma masiva en generar las „divisiones militares“ para la guerra y los peligros de la red. Quién cre que esto no tiene repercusiones en todos los aspectos de nuestra vida tan influenciada por la red, la electrónica y la electrónica y por lo tanto en las capacidades técnicas requeridas de la mano de obra en estos campos, mejor se va con los hippies a la vida del siglo 19! O es tan viejo o enfermo como ya y dice que lo que le queda de tiempo no requiere adaptarse!

Yo soy un viejo terco, pero idealista! Yo creo y amo los iberoamericanos y quiero devolver a estos las riquezas humanas que me han dado y me dan! Promoviendo, lo que en mi vida profesional con frecuencia se demostró estar correcto, que a nosotros los iberoamericanos les está dado estar a la par con aquellos de otras regiones del mundo!


----------



## chclau (Nov 24, 2016)

El griego, el problema no es que por un ataque te dejen desconectada de la Internet la heladera o la camarita. Eso no seria nada.

El problema son los ataques de tipo DDoS. Esto ya existe desde hace mucho pero en general la solucion era identificar la(s) direccion(es) de donde venia el ataque y simplemente bloquearlas. Cuando las direcciones que realizan el ataque son una, o diez, tal proteccion es factible y funciona. 

Pero con IoT y la muy mala proteccion que tienen muchos dispositivos IoT, lo que viene sucediendo es que hackers toman como rehenes decenas de miles de dispositivos. Con ellos montan ataques a cosas muy importantes, como pueden ser los equipos de servicios publicos, luz, agua, etc.; el sistema bancario, y otros.

El problema es muy grave y puede afectarnos a todos.


----------



## Hellmut1956 (Nov 24, 2016)

Otra vez confirmo que comparto lo recien publicado! He encontrado otro piezita de información que documenta el increible paso en el que cambios tienen lugar:






Esta velocidad de cambio se refleja en el cambio del tiempo de vida promedio de empresas. Cuando en los 60 se asumía que una empresa persistiría unos 65 años, significa que el modelo comercial y el uso de sus productos persiste varias generaciones, hoy solo son 20 años y se estima que en el 2020 solo serán 15 años. Esto refleja una de las consecuencias de la revolución tecnológica y en consecuencia cambios que afectan todos los sectores que encontramos en una vida! Si tomo como un ejemplo el PC! En los 80 apareció el PC de IBM. Hoy, en el 2016, vemos que el mercado del PC esta siendo transferido en muchos sectores al smartphone y las tabletas. Windows 10 simula la superficie que conocemos de estos sistemas tratando así de facilitar el uso por usuarios de las generaciones acostumbradas al smartphone y las tabletas. En solo 40 años el PC a sido reemplazado por el smartphone y las tabletas en los entornos no empresariales. Aunque estoy seguro que muchos de ustedes podrán dar ejemplos de que también en estos sectores el cambio ha ecotrado su ruta de entrada!

Si asumimos que los sistemas conectados a la red hoy 2015 empiezan su explosivo desarrollo, en 5 años jugarán un papel muy importante comparado con hoy! Para el 2025 probablemente la primera generación ya habrá alcanzado un alto grado de madurez y nuevas posibilidades técnicas y modelos de comercialización pudieran empezar a reemplazar lo que vemos hoy como la primera generación de sistemas conectados!

Que impacto tiene esto en el mundo laboral en el cual profesionales que usan las tecnologías relacionadas a la electrónica e imformática ganan su sustento y cual será el impacto negativo a aquellos que no se adaptan? chclau muy correctamenta presenta porqué en un mundo donde los criminales y terroristas informáticos van madurando sus tecnologías requiriendo a los estados de establecer "policías" para este entorno? Simplemente, y eso es mi opinión personal, harán responsables empresas que no cumplen los requisitos contra la vulnerabilidad para los daños que esto produzca!

Pero que significa si para aquellos profesionales en electrónica que saben de vulnerabilidades, de tecnologías de protección? Significa que estarán preparados y sabientes de las complejidades relacionadas! Eso significa trabajo muy bien renumerado! Y es esa la razón por la cual un viejo terco y enfermo como yo quiere evangelizar los foristas de este foro. Para mí es curiosidad, es fascinación por el tema y tema de muchas reflexiones que practico durante los paseos con mi perro "Samy"!


----------



## Hellmut1956 (Nov 29, 2016)

Los modems del proveedor Telekom, Speedport xxx fueron atacados haciendo imposible que estos después del ataque pudieran volver a registrarse con el proveedor Telekom. Afortunadamente la software no estuvo bien programa por lo que no logró grabar los cambios de forma no volatil. Desconectando el modem y volviendo a encenderlo conectando la alimentación eléctrica resolvió el problema. Lo impresionante es que son entre 900 mil a un millón de clientes los que fueron afectados! Ahora imagínense que la calidad de esa software resulta mejor y que no solo son 1 millón de sistemas afectados, sino billones de estos!

Aquí en Alemania es claro ahora que urgentes y drásticas acciones son necesarias para que el Internet no acabe de derrumbarse, o que infraestructura del país y fabricaciones sean afectadas.


----------



## Hellmut1956 (Dic 2, 2016)

Hola amigos, he recibido el enlace para un webinario donde se presenta el producto de esa empresa! Por lo general no promulgo. Pero el webinario realmente presenta la tecnología que considero muy creativa para armar defensas en un mundo donde el Internet será el escenario donde criminales, el crimen organizado, organizaciones estatales y terroristas usarán recursos inmensos para atacar a participantes del Internet.  El sistema esencialmente es una combinación de lo que inglés se lla "deep learning" y especialistas de los USA y UK estatales y universitarios combinan estas competencia junto con matemáticos. El sistema segun entiendo es para corporaciones y me explico porqué!

La software utiliza la tecnología del aprendizaje automático primero captando cual es el comportamiento normal de todos los elementos de una red corporativa, PCs, usuarios, redes y computadores por un lado y las interacciones de la corporación con su entorno. Aprendiendo va continuamente "mejorando y precisando" que es normal en la red corporativa. Esto tiene lugar de forma autónoma y no requiere "educar" el sistema con bases de datos. Con el tiempo el sistema empieza a notar cuando "algo" no cuadra como "normal" en el entorno. Por un lado verifica que lo "no 100% normal" es o no es algo permitido.

Si representa algo no normal, entonces el sistema va a analizar el tópico y lo va aprendiendo! Así el sistema aprende de forma autónoma reconocer y combatir estructuras aparentemente no normales. El gran diferenciador que caracteriza esta tecnología es su capacidad de reconocer alteraciones de cualquier tipo e ir aprendiendo estos.

La justificación de esta estrategia me parece muy sensata. Los atacantes cuentan de recursos prácticamente ilimitados, sea porque son de origen estatal, seo que es por criminales y criminalidad organizada que logran hurtar "valores de miles de millones de Euros anuales" con tendencia a progresar exponencial. Lo mismo es aplicable a terroristas! Así las defensas tradicionales son reactivas! Descubren un atacante y desarrollan la defensa de su estrategia!

https://www.brighttalk.com/webcast/...ampaign=player-page-feed&utm_content=promoted


----------



## Hellmut1956 (Dic 11, 2016)

Aquí el enlace donde se encuentran los datos sobre las 3 ARM Cortex M arquitecturas. Bajo el punto ARM-V8M da los detalles sobre las nuevas implementaciones en controladores de los tipos ARM Cortex M23 y M33. En el 2017 se veran las primeras implementaciones. La nueva familia de Freescale (NXP) i.MX8, que ya está siendo utilizadas por 5 clientes selecionados, aparecerá disponible para todos en el 2017


----------

