[lac-discuss-es] RV: [ALAC-Announce] ADOBE CONNECT – WHAT NEXT? - ICANN Blog By Ash Rangan

Lun Abr 23 12:40:42 UTC 2018

Estimados, una traducción no oficial del problema de Adobe Connect, y algunos comentarios. En este link se pueden realizar comentarios. https://www.icann.org/news/blog/adobe-connect-what-next

Saludos cordiales

Alberto Soto

“Como usted sabe, la organización de ICANN retiró su servicio Adobe Connect a mitad de la reunión ICANN61 en respuesta a problemas informados con este servicio. Al mismo tiempo, comenzamos a realizar nuestro propio análisis forense del incidente informado y comenzamos a trabajar con nuestro proveedor de servicios en la nube de Adobe, CoSo Cloud LLC, y con Adobe para obtener más información. Poco después, lanzamos instancias de Zoom y WebEx para que la comunidad admitiera la participación remota (RP) y la colaboración. Aquí es donde estamos ahora:

La investigación forense

Con respecto a nuestro trabajo forense, recibimos archivos de registro de aplicaciones de CoSo Cloud, que se remontan a un año. Los equipos de Ingeniería y Seguridad de ICANN han examinado estos archivos de registro de aplicaciones y los resultados de nuestra investigación muestran claramente "huellas dactilares de incursión" por parte del investigador que informó el problema. No pudimos encontrar ninguna otra indicación de que alguien más haya identificado o explotado este problema. Gracias a la persona que encontró el error nuevamente.

Trabajando estrechamente con CoSo Cloud, pudimos recrear el problema informado y comprender las condiciones necesarias para activarlo. Esta información ha sido comunicada a Adobe, y Adobe está trabajando en una solución de software para abordar la causa raíz del problema.

También hemos estado trabajando con CoSo en las opciones para volver a habilitar Adobe Connect a corto plazo. Hemos determinado que hay dos caminos viables para lograr este objetivo. Son:

Implemente una configuración reforzada para eliminar las explotaciones "man-in-the-middle" cifrando el tráfico relevante, o

Implemente una corrección programática de CoSo Cloud para reducir sustancialmente la ventana durante la cual se puede aprovechar el problema.

Con respecto a la primera opción, intentamos hackear la configuración reforzada en un entorno de prueba la semana pasada, y no pudimos hacerlo en el transcurso de 7 horas. Por separado, CoSo Cloud y Adobe realizaron pruebas similares y confirmaron que esta configuración está protegida de la explotación del problema.

Comentarios de la comunidad y próximos pasos

Durante las últimas tres semanas, hemos estado recopilando comentarios limitados sobre las experiencias de los usuarios con WebEx y Zoom. Hasta ahora, contamos con la aportación de aproximadamente 200 personas, incluidos los organizadores de reuniones de org de ICANN y la comunidad de ICANN . Nuestro análisis de estos comentarios indica un deseo de volver a una conexión de Adobe, siempre que la seguridad del servicio esté garantizada.

En consecuencia, nos gustaría proponer el siguiente plan a la comunidad en general para su consideración:

Nos gustaría restablecer los servicios de Adobe Connect con la nueva configuración reforzada y la solución programática discutida anteriormente. Nuestra intención sería restablecer el servicio antes del 3 de mayo. Esto nos permitiría usar Adobe Connect durante varios eventos próximos, incluido el Taller de la Junta Directiva, la Cumbre de la Industria de GDD y la reunión ICANN62.

Una vez que Adobe lanza una nueva versión del software con una solución para este problema desde su perspectiva, y proporciona la seguridad de que la actualización ha sido probada adecuadamente, avanzaremos hacia esa versión de Adobe Connect de manera prudente, con la ayuda de CoSo Cloud.

Creemos que este enfoque garantizará la seguridad de nuestro contenido y de las interacciones de nuestra comunidad, al tiempo que permitirá a nuestra comunidad utilizar las herramientas de colaboración de su elección.

Antes de hacer estos cambios, queremos saber de usted. ¿Qué piensas? Por favor envíe sus pensamientos sobre esta jugada contemplada antes del 2 de mayo aquí: RP-tool en icann.org

Mientras tanto, continuaremos ofreciendo WebEx y Zoom para RP y con fines de colaboración. También continuaremos siguiendo los desarrollos de la industria, incluida la investigación que ALAC está realizando sobre el RP y el espacio de colaboración, para garantizar que estamos utilizando herramientas seguras y rentables que sean apropiadas para nuestras necesidades.

¡Espero tus comentarios!

Comentarios

Ken Stubbs   13:02 UTC del 20 de abril de 2018

Tu solución se ve bien para mí.

Cheryl Langdon-Orr   16:36 UTC del 20 de abril de 2018

Aprecio esta actualización, gracias, Ash, también me complace leer que se están realizando esfuerzos para devolver el uso de Adobe Connect ( AC ) a aquellos de nosotros que asistimos a reuniones (especialmente nuestros WG ) en modo RP. Utilizo tanto Zoom como WebEx de manera bastante extensa en otras circunstancias ajenas a la ICANN , y cada una tiene características buenas y no tan buenas, pero agradezco algunas de las características especiales que AC nos puede ofrecer, especialmente cuando dirigimos y administramos reuniones y llamadas.

Darran James Hubbard   20:48 UTC el 22 de abril de 2018

Es una gran idea ... paz y seguridad de las cosas más importantes en la vida

Nigel Roberts   02:54 UTC del 23 de abril de 2018

Yo, entre muchas personas, estaba ansioso por ver el regreso de Adobe Connect. Pero debes entender que esto es casi seguro debido a la familiaridad y las muchas horas invertidas en el entrenamiento autodidacta y muchas horas de experiencia en ello. Es un riesgo grave que dependamos de un solo proveedor, lo que, como hemos visto, puede fallarnos en el momento en que más lo necesitábamos. Y creo que es más que levemente apresurado volver a Adobe antes de que se complete la evaluación de los demás, y antes de que Adobe haya confirmado el nivel de seguridad de los cambios propuestos. No obstante, si las modificaciones propuestas protegen completamente a Adobe, estaremos encantados de ver su devolución como una opción. Sin embargo, está claro que la ICANN* debe * proporcionar una alternativa que podríamos elegir utilizar en algunas circunstancias, para que no dependamos de un único punto de falla. Por lo tanto, presento que la ICANN debe continuar haciendo una de las alternativas temporales disponibles para SO, AC y WG. Y afirmo con firmeza que la elección de ese producto de 'segunda cadena' debe ser Zoom, que proporciona claramente instalaciones equivalentes (y, en algunas circunstancias, mejores) a las ofrecidas por Adobe. (Bajo ninguna circunstancia podría recomendar WebEx).

Marcus Fauré   03:07 UTC del 23 de abril de 2018

Aprecio que esté trabajando en cuestiones de participación remota, un servicio en el que muchos de nosotros confiamos. Sin embargo, si ya está buscando alternativas precisamente por problemas de seguridad, me gustaría sugerirle que utilice un software alternativo para conferencias web. Adobe tiene un largo historial de importantes fallas de seguridad en sus softwares, particularmente Flash. Como resultado, la mayoría de las principales empresas abandonaron Flash y se convirtió en un producto de nicho. Personalmente, solo uso Flash en una máquina didicated que no contiene datos importantes. Creo que sería una buena jugada mostrarles a los fabricantes de productos inseguros que tienen que hacerlo mejor y alentar a la ICANN a enviar la señal correcta”

De: ALAC-Announce <alac-announce-bounces en atlarge-lists.icann.org> En nombre de ICANN At-Large Staff
Enviado el: domingo, 22 de abril de 2018 07:50 p.m.
Para: ALAC Announce <alac-announce en atlarge-lists.icann.org>
Asunto: [ALAC-Announce] ADOBE CONNECT – WHAT NEXT? - ICANN Blog By Ash Rangan
Importancia: Alta

Dear All,

Please take a look at the blog by Ashwin Rangan (ICANN SVP Engineering and CIO) on Adobe Connect <https://www.icann.org/news/blog/adobe-connect-what-next>  published on Friday 20 July and note the following request:

Before we make these changes, we want to hear from you. What do you think? Please submit your thoughts on this contemplated move before May 2nd here:  <mailto:RP-tool en icann.org> RP-tool en icann.org

Thank you.

Kind regards,

At-Large Staff

ICANN Policy Staff in support of the At-Large Community

E-mail:  <mailto:staff en atlarge.icann.org> staff en atlarge.icann.org

Website:  <https://atlarge.icann.org/> atlarge.icann.org 

Facebook:  <https://www.facebook.com/icannatlarge> facebook.com/icann <https://www.facebook.com/icannatlarge> atlarge

Twitter:  <https://twitter.com/ICANNAtLarge> @ <https://twitter.com/ICANNAtLarge> ICANNAtLarge

https://www.icann.org/news/blog/adobe-connect-what-next

ADOBE CONNECT – WHAT NEXT?

As you know, the ICANN organization took down its Adobe Connect service midway through the ICANN61 meeting in response to reported issues[icann.org] <https://urldefense.proofpoint.com/v2/url?u=https-3A__www.icann.org_news_blog_issues-2Dwith-2Dadobe-2Dconnect-2Dat-2Dicann61&d=DwMGaQ&c=FmY1u3PJp6wrcrwll3mSVzgfkbPSS6sJms7xcl4I5cM&r=PqnmlD10aN3cxIHyiUf_hNf25P6Dsv7dJM6flBzRrBs&m=BOsB9SPUcI2W357fPTibt6m0x6iBTIeG3srJT9RJmLY&s=TOg7KP8tDjZDoD--PnVl96yWpRxz965HLQyvcb4AFf4&e=>  with this service. Concurrently, we began to conduct our own forensic analysis of the reported incident and began working with our Adobe cloud service provider, CoSo Cloud LLC, and through them with Adobe to learn more. Shortly thereafter, we rolled out instances of Zoom and WebEx for the community to support remote participation (RP) and collaboration. Here's where we are now:

The Forensics Investigation

With respect to our forensics work, we received application logfiles from CoSo Cloud, going back for a period of one year. ICANN Engineering and Security teams have examined these application log files and the results of our investigation clearly show "fingerprints of incursion" by the researcher who reported the issue. We were unable to find any other indication that anyone else either identified or exploited this issue. Thanks to the person who found the bug again.

Working closely with CoSo Cloud, we were able to recreate the reported issue, and understand the conditions required to trigger it. This information has been communicated to Adobe, and Adobe is working on a software fix to address the root cause of the issue.

We have also been working with CoSo on options to re-enable Adobe Connect in the shorter term. We have determined there are two viable paths to accomplish this goal. They are:

1.	Deploy a hardened configuration to eliminate "man-in-the-middle" exploitations by encrypting relevant traffic, or
2.	Implement a programmatic fix from CoSo Cloud to substantially reduce the window during which the issue can be exploited.

With respect to the first option, we attempted to hack the hardened configuration in a test environment last week, and were not able to do so over the course of 7 hours. Separately, CoSo Cloud and Adobe conducted similar tests and confirmed that this configuration is protected from exploitation of the issue.

Community Feedback and Next Steps

For the last three weeks, we have been gathering limited feedback regarding users' experiences with WebEx and Zoom. So far, we have input from about 200 people, including ICANN org meeting organizers and the ICANN community. Our analysis of this feedback indicates a desire to revert back to an Adobe Connect, providing the security of the service is ensured.

Accordingly, we would like to propose the following plan to the broader community for consideration:

1.	We would like to restore Adobe Connect services with both the new hardened configuration and the programmatic fix discussed above. Our intent would be to restore service by 3 May. This would allow us to use Adobe Connect during several upcoming events including the Board Workshop, the GDD Industry Summit, and ICANN62.
2.	Once Adobe releases a new version of the software with a fix for this issue from their perspective, and provides assurance the update has been adequately tested, we will move toward that release of Adobe Connect in a prudent manner, with the help of CoSo Cloud.

We believe that this approach will ensure the security of our content, and of our community interactions, while also enabling our community to use the collaboration tools of their choice.

Before we make these changes, we want to hear from you. What do you think? Please submit your thoughts on this contemplated move before May 2nd here: RP-tool en icann.org <mailto:RP-tool en icann.org> 

Meanwhile, we will continue to offer WebEx and Zoom for RP and collaboration purposes. We will also continue to follow industry developments, including the research ALAC is doing on the RP and collaboration space, to ensure we are using secure and cost-effective tools that are appropriate for our needs.

I look forward to your comments!

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://atlarge-lists.icann.org/pipermail/lac-discuss-es/attachments/20180423/862cffeb/attachment-0001.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image001.png
Type: image/png
Size: 5431 bytes
Desc: no disponible
URL: <http://atlarge-lists.icann.org/pipermail/lac-discuss-es/attachments/20180423/862cffeb/image001-0001.png>
------------ próxima parte ------------
An embedded and charset-unspecified text was scrubbed...
Name: ATT00001.txt
URL: <http://atlarge-lists.icann.org/pipermail/lac-discuss-es/attachments/20180423/862cffeb/ATT00001-0002.txt>
------------ próxima parte ------------
An embedded and charset-unspecified text was scrubbed...
Name: ATT00001.txt
URL: <http://atlarge-lists.icann.org/pipermail/lac-discuss-es/attachments/20180423/862cffeb/ATT00001-0003.txt>
------------ próxima parte ------------
An embedded and charset-unspecified text was scrubbed...
Name: Datos adjuntos sin título 00005.txt
URL: <http://atlarge-lists.icann.org/pipermail/lac-discuss-es/attachments/20180423/862cffeb/Datosadjuntossinttulo00005-0001.txt>