Blog del CCI

lunes, 24 de octubre de 2016

From the Internet OF Things (IoT) towards Things OFF Internet (ToI)

Never before, IoT  -IIoT, given our interests-  had deserved a sort of monograph within this newsletter. Last Friday’s events seem to support such statement. The attack over Dyn, Inc. and its effect on the Internet infrastructure laying on the US East Coast (and other areas of the country) demonstrated several things ...

Firstly, something that we have been defending from this and other tribunes for some time: “Technification”  -at least, a bad solved one-  does no other thing than weakening you.
Secondly,  “IoT is a complete disaster!”. I am quoting Silent Circle’s Phil Zimmermann whom we have the pleasure to hear during his speech at INCIBE’s “10th ENISE” held in Leon (Spain) last week.

And in third place, the discussion held on the same ENISE’s stage between CCI’s José Valiente and Cellnex Telecom’s Pablo Oliete  -in fact a very interesting one-  was to some point premonitory. Unfortunately [or  -let’s be positive-  fortunately, should we consider learned lessons from the events] real-life has showed us that one  -IoT vendors and other enthusiasts-  should adopt, not only some pre-cautions, but a more moderated approach when it comes to weight time-to-market versus security from the earliest stages of the product life-cycle.

That aspect of building and deploying connected things should be an important part of IoT cybersecurity economics. Hackers, that are investing their best efforts in “improving” tools like Mirai are, for sure, aware of the economic benefits of doing so.

***

The interesting chronicle by The New York Times’s David E. Sanger and Nicole Perlroth on the Dyn case states that, apparently surprisingly, the US election system is not part of the country’s critical infrastructure “map”. This could lead us to think “No, right, but why National Monuments are?”.

***

But I would not want to leave you concerned for this issues. Think that beyond the transition from IoT (Internet OF Things) towards ToI (Things OFF Internet), there is sill room for making things (particularly “connected” things) right. For sure, it will bring us a myriad of benefits. So, definitely, don’t be afraid to explore all this set of new technologies.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

De la Internet de las Cosas CONECTADAS a las Cosas DESCONECTAN Internet

Nunca antes, la "Internet de las Cosas"  -la "Internet Industrial de las Cosas", dados los intereses de este "Boletín"-  había merecido una suerte de monografía, como hoy. El ataque sobre la compañía Dyn, Inc. y sus efectos sobre la Internet que recorre la costa este de los EEUU (y otras zonas del país) ha demostrado varias cosas ...

En primer lugar, algo sobre lo que hemos venido insistiendo, desde esta y otras tribunas, durante tiempo: la tecnificación  -al menos, la deficientemente resuelta-  no hace sino debilitarte.

En segundo, "¡La 'Internet de las Cosas' es un completo desastre!". Estoy citando a Phil Zimmermann, de Silent Circle, a quien tuvimos el placer de escuchar la pasada semana en León (España), durante la celebracíón de la X edición del encuentro ENISE, organizado por INCIBE.

Y en tercer lugar, la discusión que sobre el mismo escenario de ENISE mantuvieron José Valiente, de CCI, y Pablo Oliete, de Cellnex Telecom  -de hecho, un debate muy interesante-  ha resultado, en cierta medida, premonitoria. Desafortunadamente [o  -seamos positivos-  afortunadamente, si tenemos en cuenta las lecciones aprendidas de esos hechos] la vida real nos ha mostrado que uno  -los fabricantes de objetos para la "Internet de las Cosas" y otros entusiastas-  debería adoptar, no sólo algunas precauciones, sino un enfoque más moderado cuando se trata de ponderar la rapidez con la que sus productos llegan al mercado, frente al hecho de garantizar su seguridad desde las etapas más tempranas del ciclo de vida de dichos productos.

Ese aspecto de construir y desplegar cosas conectadas debería ser una parte importante de la economía de la ciberseguirdad de la "Internet de las Cosas". Los delincuentes, que invierten sus mayores esfuerzos en "mejorar" herramientas como Mirai, son, con total seguridad, conscientes de los beneficios económicos de obrar así.

***

La interesante crónica que nos ofrecen desde "The New York Times" los periodistas David E. Sanger y Nicole Perlroth sobre el "caso Dyn" incluye la afirmación de que, aparentemente de forma sorprendente, el sistema electoral de los EEUU no forma parte del "mapa" de infraestructuras críticas de ese país. Esto podría llevarnos a pensar “No, en efecto; pero, ¿por qué los Monumentos Nacionales si lo hacen?”.


***


No obstante, no quisiera dejarle preocupado por estos temas. Piense que, más allá de la transición de la "IoT" (Internet de las Cosas CONECTADAS) a las "ToI" (las Cosas DESCONECTAN Internet), todavía hay hueco para hacer las cosas (en especial las "conectadas") de forma correcta. Sin duda, ello aportará enormes beneficios. Por tanto, definitivamente, no tema explorar todo ese conjunto de nuevas tecnologías.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 17 de octubre de 2016

Real-life lessons, lack of transparency and root-causes

Boards of Directors have been worth this newsletter’s attention for almost the last two years. Given that beyond exotic technical aspects any kind of cyber issue impacting an organization has (or could have) consequences for the organization itself or for any of its stakeholders, no one better than the Board to become ultimate accountable for cyber. The BoD’s role in oversighting the organization’s overall performance and its function as ownership’s proxy makes it the perfect candidate to start learning the lessons that real-life cyber teaches.

A great majority of American (and abroad) Boards learned their first cyber lesson in 2013, thanks to TARGET. The retailer’s cyber breach affecting more than 100M of its customers served as a trigger for directors to start feeling the “new” menace. A growing number of Boards in the American stage started, since then, to ask for advice on digital and, particularly, on cyber stuff.

It is the effect of fear. And it is obvious that it runs as the perfect driver to improve awareness. But beyond fear, it is also true that there are a series of additional drivers that favor positive steps like promoting continuous compliance, engaging new cyber-savvy directors, etc. Among those drivers are regulation bodies, rating agencies, insurers, and last but not least the ultimate search for resilience. (Lights off means no threats, but it means no business, too).

While companies struggle for surviving in the cyber threaten (and threating) space, sovereign states are holding their particular, and most of the time silent, cyberwar. A kind of war in which technification does not necessarily means that you are stronger, but weaker (dependable); and in which, like it happens in conventional warfare, diplomacy or containment not always help (especially, when you fight against not so diplomatic enemies).
Anyway, as we usually insist on, information sharing among your allies (corporate, state-sponsored or both) is more and more a must. So it seems to derive from initiatives like US Cybersecurity Information Sharing Act of 2015. The only doubt it poses to me is why, most of the times, transparency ends when cyberattacks (or similar) information reaches the Government’s agencies?

Finally, be aware that the unstoppable invasion of IACS by IT is at the core of our economies’ cyber weakness and are the root-cause of most of our cyber problems. (And yes, of course, it is a key driver for our future opportunities, too!).

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Lecciones de la vida real, falta de transparencia y causas-raíz

Los consejos de administración han merecido la atención de este "Boletín" desde, al menos, casi dos años. Dado que más allá de los exóticos aspectos ténicos cualquier tipo de ciberproblema que impacte sobre una organización tiene (o podría tener) consecuencias para la propia organización o para cualquiera de sus grupos de interés, nadie mejor que el consejo para hacerse responsable último de "lo cíber". El papel de los consejos de administración como órganos supervisores del comportamiento general de las organizaciones y su función como garantes de los intereses de la propiedad los convierte en candidatos perfectos para comenzar a aprender las lecciones que enseña "lo cíber" en la vida real.

Una gran mayoría de consejos de administración estadounidenses (y de otras geografías) aprendieron su primera lección en 2013, gracias a TARGET. La brecha de seguridad que sufrió la cadena de grandes almacenes y que afectó a más de cien millones de sus clientes sirvió como revulsivo para que los consejeros comenzasen a sentir la "nueva" amenaza. Un creciente número de consejos de la escena estadounidense empezaron, desde entonces, a solicitar consejo sobre lo digital y, particularmente, sobre los asuntos "cíber".

Es el efecto del miedo. Y se hace obvio que ese miedo funciona de forma excelente para remover conciencias. Pero, más allá del miedo, también es cierto que hay una serie de palancas adicionales que favorece pasos positivos [en los consejos] como la promoción de una conformidad normativa continua, como la incorporación de consejeros con un bagaje "cíber", etc. Entre dichas palancas están los organismo reguladores, las agencias de calificación, las aseguridoras y, en último lugar, pero no por ello menos relevante, la búsqueda, en última instancia, de la resiliencia. (Sin no hay negocio, ya no habrá amenazas, ni miedo a las mismas; pero tampoco habrá beneficios, ni nuevas oportunidades).

Mientras las empresas se esfuerzan por sobrevivir en el amenazado (y amenazador) ciberespacio, los estados soberanos también mantienen su particular, y en muchos de los casos silenciosa, ciberguerra. Un tipo de confrontación en la que la tecnificación no significa necesariamente que seas más fuerte, sino todo lo contrario (tecnológicamente dependiente y, consecuentemente, más "ciber" débil); y en la que, como sucede con la guerra convencional, la diplomacia y la prudencia no siempre ayudan (particularmente, si luchas contra enemigos que hagan gala de una menor diplomacia).

En cualquier caso, como solemos decir desde esta tribuna, la compartición de información entre aliados (ya sea a nivel corporativo o gubernamental) es, cada vez más, una obligación. Es lo que parece desprenderse de iniciativas como la Ley de 2015 sobre Compartición de Información de Ciberseguridad, de los EEUU. La única duda que me surge es ¿por qué, la mayoría de las veces, la transparencia se agota cuando la información sobre ciberataques (o otra similar) alcanza los estamentos de la Administración?

Para concluir, sea consciente de que la imparable invasion que la Informática está llevando a cabo sobre las tecnologías de control industrial está en la base de la ciberdebilidad de nuestras economías y en una de las causas de la mayoría de nuestros cíberproblemas. (¡Por supuesto, también es la palanca de nuestras futuras oportunidades!).

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 10 de octubre de 2016

Booz, Allen, Hamilton and other illustrious names

The fact that the same company has had two of its employees stealing US Government’s classified information in a three-year period does not mean other thing that it is a company very well connected with, and probably deeply involved in, such Government’s programs and/or operations. I mean that all this does prove nothing, but that data theft arises just where it is able to. Because of this, it is not strange that the name of consultancy firm Booz Allen Hamilton, a defense and intelligence contractor, has been twice in the headlines  -for this kind of issues-,  since the 2013 case of Edward Snowden.

In fact, just twenty days before Oliver Stone’s “Snowden” world premiere, scheduled for September, 15th, a couple dozens of FBI agents stormed a house at Glen Burnie, Maryland (USA), where they found thousands of documents  -both, hardcopy and digital-  marked someway with the NSA seal.  It was Harold T. Martin III’s home, a former agency’s contractor with BAH!

It is not clear what Mr. Martin’s intentions were with respect to the stolen documents: just to hoard them?; or maybe to pass them all to anybody else?; etc. The only certain things are that Mr. Martin, apart from being in the headlines, has been fired from BAH; and that this latter, along with the US Government itself, have fallen in a very bad reputational situation: How, after Snowden, have things kept the same (i.e., insecure) both at the cybersecurity consultancy and at its cyber over-budgeted client?

***

Use this example and other principles to explain your Board how dangerous any insider threat could become. And, of course, do not forget to tell them how vulnerable their IACS still are, how technology (Bluetooth) as well as social (Facebook or the like) threats could impact their organization.

And, last but not least, understand (and make them understand) that implications, as well as benefits and risks of smart manufacturing go far beyond deploying new, or improving existing, technical solutions.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Booz, Allen, Hamilton y otros nombres ilustres

El hecho de que una misma empresa haya tenido a dos de sus empleados robando información clasificada del Gobierno de los EEUU en un período de tres años no significa más que se trata de una empresa muy bien conectada, y probablemente profundamente implicada, con los programas y/u operaciones de dicho Gobierno. Quiero decir que todo ello no prueba más que el robo de información se produce en aquellos lugares donde resulta más factible. Por ello, no es de extrañar que el nombre de la firma de consultoría Booz Allen Hamilton, un empresa americana contratista en las áreas de defensa y de inteligencia, haya aparecido dos veces en los titulares  -por este tipo de asuntos-  desde que saltase a la luz el caso de Snowden en 2013.

De hecho, apenas veinte días antes del estreno mundial de la película "Snowden" del director Oliver Stone, programado para el 15 de septiembre, un par de docenas de agentes del FBI asaltaron una casa en Glen Burnie, Maryland (EEUU), donde encontraron miles de documentos  -tanto en papel, como en formato digital-  marcados con el sello de la NSA. ¡Se trataba del domicilio de Harold T. Martin III, un antiguo empleado de la agencia, a través de BAH!

No quedan claras cuáles han podido ser las intenciones del Sr. Martin con respeccto a los documentos robados: ¿símplemente coleccionarlos?; ¿o, tal vez, pasárselos a un tercero?; etc. Lo único cierto es que el Sr. Martin, aparte de salir en los periódicos,  ha sido despedido de BAH; y que esta última, junto a la propia Administración estadounidense, han sufrido un duro golpe en su reputación: ¿Cómo, tras el caso Snowden, han seguido igual las cosas (es decir, inseguras) tanto en la consultora expecializada en ciberseguridad, como en su cliente, una Administración con un presupuesto astronómico dedicado a la ciberprotección?

***

Haga uso de este caso y de otros principios para explicar a su consejo de administración cuán peligrosas pueden resultar las amenazas interiores. Y, por supuesto, no olvide decirles lo vulnerables que siguen siendo sus sistemas de control industrial, y cómo pueden impactar en la organización las amenazas, tanto técnicas (Bluetooth) como sociales (Facebook o similares).

Por último, aunque no menos relevante, comprenda (y haga que ellos también entiendan) que las implicaciones (incluidos los beneficios y los riesgos) de la fabricación inteligente van mucho más allá del despliegue de nuevas, o la modernización de viejas, soluciones tecnológicas.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 3 de octubre de 2016

Names, Peace and other terms

Two stories have drawn our attention these days. More specifically, two names associated to those two stories. For sure, you are pretty familiar with one of them: Yahoo! Inc.; while, very probably, the other will say you nothing: Coburn.

***

Let’s start with Yahoo! It and its president & CEO, Marissa Mayer, had been in the headlines during the last weeks/months. No, not because of the hack! Let’s talk about the hack in a second. They were in the headlines because of the deal with the American telco Verizon, which, on July, 23rd, decided to pay $4,8 Bn for the former. And yes, then came the hack story.

Just a week and a half ago, on September, 22nd, Yahoo itself released a note to its users notifying that “A recent investigation by Yahoo! Inc. (NASDAQ:YHOO) has confirmed that a copy of certain user account information was stolen from the company’s network …”. The issue had started on August, 1st (one week after the Verizon deal), when a guy, nicknamed “Peace”, was detected selling hundreds of millions of Yahoo users’ credentials in the Dark Web.

In the same note of 9/22, Yahoo recognized that “information associated with at least 500 million user accounts was stolen” which made it the biggest data breach in History. (BTW, now it is being said that the number of stolen records could be in the order of the billion).

But the worst thing of the story was that Yahoo also recognized that the data had been “stolen from the company’s network in late 2014”. Almost two years earlier!

All this poses some questions as: “Was there an attempt to disturb the Yahoo-Verizon deal, or was the economic interest the only motivation for the hack?” ("Peace" sold 200 million records by only 3 Bitcoins  -i.e., $1,800-). Moreover, “what about the fact that Yahoo disclosed the leak two years after it happened?”. "Could it be seen as a case of unethical behavior in an attempt, by Yahoo, of preventing any damage on its deal?

***

Regarding ethics, Gordon Coburn is our second name today. It has been a while since our last reference to beheaded Presidents/CEOs. This week the terms “president”, “technology” and “resigned” have merged around Mr. Coburn, the company he was head of until now  -Cognizant Technology Solutions-  and bad corporate decisions. This time not due to a digital glitch or hack, but to bad  -i.e., unethical-  labor practices.

***

While corporate behavior gets the ethical lane again, let us continue exploring how to approach digital forensics in an industrial automation environment  -the CCI way-  (an exercise  -forensics-  that could result of benefit for Yahoo, right now-); let us revisit other cyber milestones as relevant as the Yahoo one, happened in recent years; let us try the new release of CSET; let us understand the perils of operating control systems in hazardous locations; and let us dive deeper into the Big Data sea that network monitoring opens before us.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Nombres propios, Paz y otros términos

Dos son las historias que han llamado nuestra atención en los últimos días. Más concretamente, dos nombres asociados a esas dos historias. Seguro que el primer de ellos les resulta muy familiar: Yahoo! Inc.; mientras que el otro, muy probablemente, no les dirá nada: Coburn.

***

¡Comencemos por Yahoo! Ella [la empresa] y su presidente y consejera delegada, Marissa Mayer, han sido portada durante las últimas semanas/meses. ¡No, no me refiero al ciberataque! Permítame un minuto, antes de hablar de eso. Han sido portada por el acuerdo con la telefónica estadounidense Verizon, la cual aprobó, el 23 de julio pasado, la compra de la primera por la suma de 4.300 millones de euros. Y sí, fue entonces cuando llegó la historia del ataque.

Justo hace semana y media, el 22 de septiembre, la propia Yahoo publicaba una nota de prensa, dirigida a sus usuarios, notificándoles que “Una reciente investigación realizada por Yahoo! Inc. (NASDAQ:YHOO) ha confirmado que una copia de cierta información relativa a las cuentas de usuario ha sido robada de la red de la empresa …”. El problema había comenzado el 1 de agosto (una semana después del acuerdo con Verizon), cuando se detectó que un individuo, apodado “Paz” (“Peace”, en el inglés original) estaba vendiendo cientos de millones de credenciales de usuarios de Yahoo en el mercado negro (la Internet Oscura).

En la misma nota del 22S, Yahoo reconocía que “ha sido robada información asociada con, al menos, 500 millones de cuentas de usuario”, lo que hacía del caso el mayor robo de datos de la Historia. (Por cierto, ahora se comienza a rumorear que el número, realmente, podría rondar el orden de los mil millones).

Pero lo peor de todo fue que Yahoo también reconoció que los datos habían sido “robados de la red de la empresa a finales de 2014”. ¡Hace casi dos años!

Todo esto provoca algunas preguntas como: “¿Hubo un intento de entorpecer el acuerdo Yahoo-Verizon, o no fue más que el interés económico lo que movió a los ladrones?” (“Paz” vendió 200 millones de registros por apenas 3 bitcoins  -unos 1.600 euros-). Es más, “¿qué hay del hecho de que Yahoo revelase el robo después de dos años?” “¿Podría verse el asunto como un caso de comportamiento poco ético, en un intento, por parte de Yahoo, de evitar dañar su acuerdo?”.

***

Hablando de ética, hoy Gordon Coburn es nuestro segundo nombre. Ha pasado un tiempo desde nuestra última alusión a consejeros delegados decapitados. Esta semana los términos “consejero delegado”, “tecnología” y “dimisión” han confluido, de nuevo, en torno al Sr. Coburn, a la empresa de la que hasta ahora era primer ejecutivo  -Cognizant Technology Solutions-  y a unas malas prácticas de gobierno corporativo. Esta vez no relacionada con un fallo digital ni con un ciberataque, sino con malas  -poco éticas-  prácticas laborales.

***

Mientras los comportamientos corporativos retoman la senda de la ética, continuemos explorando cómo abordar un análisis forense informático en un entorno industrial (un ejercicio  -el forense-  que convendría mucho en este momento a Yahoo); repasemos otros ciberhitos tan relevantes como el de Yahoo, ocurridos en los últimos años; probemos la nueva versión de CSET; comprendamos los peligros de operar sistemas de control en áreas peligrosas; y buceemos en el mar de los datos a lo grande que la supervisión de redes abre ante nosotros.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!