[lac-discuss-es] RV: [ALAC-Announce] ADOBE CONNECT – WHAT NEXT? - ICANN Blog By Ash Rangan

Alberto Soto asoto en ibero-americano.org
Lun Abr 23 20:10:08 UTC 2018 

No he visto otros comentarios, pero lis informaré en la medida que los obtenga.
Saludos cordiales 

Alberto Soto


Enviado desde mi iPhone

El 23 abr. 2018, a la(s) 17:04, Alejandro Pisanty <apisanty en gmail.com> escribió:

> Alberto,
> 
> gracias por enviar esta traducción. Es imprescindible que cada organización consulte con su personal técnico experto (si el representante no lo es) para evaluar la propuesta. En especial hay que evaluar los riesgos que pudieran presentarse para las organizaciones participantes, ya que al parecer el "ataque de hombre enmedio" que se presentó y se está mitigando puede exponer a terceros no autorizados información personal del participante en las teleconferencias que usen Adobe Connect en la implementación del proveedor de ICANN. La mención del comunicado respecto a comunicaciones con la compañía Adobe sugiere que se ha dado un problema en el software, no sólo en la implementación, y que está siendo mitigada a ese nivel. Cada organización debe valorar los riesgos a los que expone a sus representantes en las distintas alternativas ofrecidas.
> 
> Además de los comentarios públicos en el blog de Ashgar Ranwin, ¿hay algunos comentarios en el ALAC que nos puedas transmitir?
> 
> Alejandro Pisanty
> 
> 2018-04-23 7:40 GMT-05:00 Alberto Soto <asoto en ibero-americano.org>:
>> Estimados, una traducción no oficial del problema de Adobe Connect, y algunos comentarios. En este link se pueden realizar comentarios. https://www.icann.org/news/blog/adobe-connect-what-next
>> 
>> Saludos cordiales
>> 
>>  
>> 
>> Alberto Soto
>> 
>>  
>> 
>>  
>> 
>> “Como usted sabe, la organización de ICANN retiró su servicio Adobe Connect a mitad de la reunión ICANN61 en respuesta a problemas informados con este servicio. Al mismo tiempo, comenzamos a realizar nuestro propio análisis forense del incidente informado y comenzamos a trabajar con nuestro proveedor de servicios en la nube de Adobe, CoSo Cloud LLC, y con Adobe para obtener más información. Poco después, lanzamos instancias de Zoom y WebEx para que la comunidad admitiera la participación remota (RP) y la colaboración. Aquí es donde estamos ahora:
>> 
>>  
>> 
>> La investigación forense
>> 
>> Con respecto a nuestro trabajo forense, recibimos archivos de registro de aplicaciones de CoSo Cloud, que se remontan a un año. Los equipos de Ingeniería y Seguridad de ICANN han examinado estos archivos de registro de aplicaciones y los resultados de nuestra investigación muestran claramente "huellas dactilares de incursión" por parte del investigador que informó el problema. No pudimos encontrar ninguna otra indicación de que alguien más haya identificado o explotado este problema. Gracias a la persona que encontró el error nuevamente.
>> 
>>  
>> 
>> Trabajando estrechamente con CoSo Cloud, pudimos recrear el problema informado y comprender las condiciones necesarias para activarlo. Esta información ha sido comunicada a Adobe, y Adobe está trabajando en una solución de software para abordar la causa raíz del problema.
>> 
>>  
>> 
>> También hemos estado trabajando con CoSo en las opciones para volver a habilitar Adobe Connect a corto plazo. Hemos determinado que hay dos caminos viables para lograr este objetivo. Son:
>> 
>>  
>> 
>> Implemente una configuración reforzada para eliminar las explotaciones "man-in-the-middle" cifrando el tráfico relevante, o
>> 
>> Implemente una corrección programática de CoSo Cloud para reducir sustancialmente la ventana durante la cual se puede aprovechar el problema.
>> 
>> Con respecto a la primera opción, intentamos hackear la configuración reforzada en un entorno de prueba la semana pasada, y no pudimos hacerlo en el transcurso de 7 horas. Por separado, CoSo Cloud y Adobe realizaron pruebas similares y confirmaron que esta configuración está protegida de la explotación del problema.
>> 
>>  
>> 
>> Comentarios de la comunidad y próximos pasos
>> 
>> Durante las últimas tres semanas, hemos estado recopilando comentarios limitados sobre las experiencias de los usuarios con WebEx y Zoom. Hasta ahora, contamos con la aportación de aproximadamente 200 personas, incluidos los organizadores de reuniones de org de ICANN y la comunidad de ICANN . Nuestro análisis de estos comentarios indica un deseo de volver a una conexión de Adobe, siempre que la seguridad del servicio esté garantizada.
>> 
>>  
>> 
>> En consecuencia, nos gustaría proponer el siguiente plan a la comunidad en general para su consideración:
>> 
>>  
>> 
>> Nos gustaría restablecer los servicios de Adobe Connect con la nueva configuración reforzada y la solución programática discutida anteriormente. Nuestra intención sería restablecer el servicio antes del 3 de mayo. Esto nos permitiría usar Adobe Connect durante varios eventos próximos, incluido el Taller de la Junta Directiva, la Cumbre de la Industria de GDD y la reunión ICANN62.
>> 
>> Una vez que Adobe lanza una nueva versión del software con una solución para este problema desde su perspectiva, y proporciona la seguridad de que la actualización ha sido probada adecuadamente, avanzaremos hacia esa versión de Adobe Connect de manera prudente, con la ayuda de CoSo Cloud.
>> 
>> Creemos que este enfoque garantizará la seguridad de nuestro contenido y de las interacciones de nuestra comunidad, al tiempo que permitirá a nuestra comunidad utilizar las herramientas de colaboración de su elección.
>> 
>>  
>> 
>> Antes de hacer estos cambios, queremos saber de usted. ¿Qué piensas? Por favor envíe sus pensamientos sobre esta jugada contemplada antes del 2 de mayo aquí: RP-tool en icann.org
>> 
>>  
>> 
>> Mientras tanto, continuaremos ofreciendo WebEx y Zoom para RP y con fines de colaboración. También continuaremos siguiendo los desarrollos de la industria, incluida la investigación que ALAC está realizando sobre el RP y el espacio de colaboración, para garantizar que estamos utilizando herramientas seguras y rentables que sean apropiadas para nuestras necesidades.
>> 
>>  
>> 
>> ¡Espero tus comentarios!
>> 
>>  
>> 
>> Comentarios
>> 
>> Ken Stubbs   13:02 UTC del 20 de abril de 2018
>> 
>>  
>> 
>> Tu solución se ve bien para mí.
>> 
>>  
>> 
>> Cheryl Langdon-Orr   16:36 UTC del 20 de abril de 2018
>> 
>>  
>> 
>> Aprecio esta actualización, gracias, Ash, también me complace leer que se están realizando esfuerzos para devolver el uso de Adobe Connect ( AC ) a aquellos de nosotros que asistimos a reuniones (especialmente nuestros WG ) en modo RP. Utilizo tanto Zoom como WebEx de manera bastante extensa en otras circunstancias ajenas a la ICANN , y cada una tiene características buenas y no tan buenas, pero agradezco algunas de las características especiales que AC nos puede ofrecer, especialmente cuando dirigimos y administramos reuniones y llamadas.
>> 
>>  
>> 
>> Darran James Hubbard   20:48 UTC el 22 de abril de 2018
>> 
>>  
>> 
>> Es una gran idea ... paz y seguridad de las cosas más importantes en la vida
>> 
>>  
>> 
>> Nigel Roberts   02:54 UTC del 23 de abril de 2018
>> 
>>  
>> 
>> Yo, entre muchas personas, estaba ansioso por ver el regreso de Adobe Connect. Pero debes entender que esto es casi seguro debido a la familiaridad y las muchas horas invertidas en el entrenamiento autodidacta y muchas horas de experiencia en ello. Es un riesgo grave que dependamos de un solo proveedor, lo que, como hemos visto, puede fallarnos en el momento en que más lo necesitábamos. Y creo que es más que levemente apresurado volver a Adobe antes de que se complete la evaluación de los demás, y antes de que Adobe haya confirmado el nivel de seguridad de los cambios propuestos. No obstante, si las modificaciones propuestas protegen completamente a Adobe, estaremos encantados de ver su devolución como una opción. Sin embargo, está claro que la ICANN* debe * proporcionar una alternativa que podríamos elegir utilizar en algunas circunstancias, para que no dependamos de un único punto de falla. Por lo tanto, presento que la ICANN debe continuar haciendo una de las alternativas temporales disponibles para SO, AC y WG. Y afirmo con firmeza que la elección de ese producto de 'segunda cadena' debe ser Zoom, que proporciona claramente instalaciones equivalentes (y, en algunas circunstancias, mejores) a las ofrecidas por Adobe. (Bajo ninguna circunstancia podría recomendar WebEx).
>> 
>>  
>> 
>> Marcus Fauré   03:07 UTC del 23 de abril de 2018
>> 
>>  
>> 
>> Aprecio que esté trabajando en cuestiones de participación remota, un servicio en el que muchos de nosotros confiamos. Sin embargo, si ya está buscando alternativas precisamente por problemas de seguridad, me gustaría sugerirle que utilice un software alternativo para conferencias web. Adobe tiene un largo historial de importantes fallas de seguridad en sus softwares, particularmente Flash. Como resultado, la mayoría de las principales empresas abandonaron Flash y se convirtió en un producto de nicho. Personalmente, solo uso Flash en una máquina didicated que no contiene datos importantes. Creo que sería una buena jugada mostrarles a los fabricantes de productos inseguros que tienen que hacerlo mejor y alentar a la ICANN a enviar la señal correcta”
>> 
>>  
>> 
>>  
>> 
>>  
>> 
>> De: ALAC-Announce <alac-announce-bounces en atlarge-lists.icann.org> En nombre de ICANN At-Large Staff
>> Enviado el: domingo, 22 de abril de 2018 07:50 p.m.
>> Para: ALAC Announce <alac-announce en atlarge-lists.icann.org>
>> Asunto: [ALAC-Announce] ADOBE CONNECT – WHAT NEXT? - ICANN Blog By Ash Rangan
>> Importancia: Alta
>> 
>>  
>> 
>> Dear All,
>> 
>>  
>> 
>> Please take a look at the blog by Ashwin Rangan (ICANN SVP Engineering and CIO) on Adobe Connect published on Friday 20 July and note the following request:
>> 
>>  
>> 
>> Before we make these changes, we want to hear from you. What do you think? Please submit your thoughts on this contemplated move before May 2nd here: RP-tool en icann.org
>> 
>>   
>> 
>> Thank you.
>> 
>> Kind regards,
>> 
>> At-Large Staff
>> 
>>  
>> 
>> ICANN Policy Staff in support of the At-Large Community
>> 
>> E-mail: staff en atlarge.icann.org
>> 
>> Website: atlarge.icann.org 
>> 
>> Facebook: facebook.com/icannatlarge
>> 
>> Twitter: @ICANNAtLarge
>> 
>> <image001.png>
>> 
>>  
>> 
>>  
>> 
>> https://www.icann.org/news/blog/adobe-connect-what-next
>> 
>>  
>> 
>> ADOBE CONNECT – WHAT NEXT?
>> 
>> As you know, the ICANN organization took down its Adobe Connect service midway through the ICANN61 meeting in response to reported issues[icann.org] with this service. Concurrently, we began to conduct our own forensic analysis of the reported incident and began working with our Adobe cloud service provider, CoSo Cloud LLC, and through them with Adobe to learn more. Shortly thereafter, we rolled out instances of Zoom and WebEx for the community to support remote participation (RP) and collaboration. Here's where we are now:
>> 
>>  
>> 
>> The Forensics Investigation
>> 
>> With respect to our forensics work, we received application logfiles from CoSo Cloud, going back for a period of one year. ICANN Engineering and Security teams have examined these application log files and the results of our investigation clearly show "fingerprints of incursion" by the researcher who reported the issue. We were unable to find any other indication that anyone else either identified or exploited this issue. Thanks to the person who found the bug again.
>> 
>> Working closely with CoSo Cloud, we were able to recreate the reported issue, and understand the conditions required to trigger it. This information has been communicated to Adobe, and Adobe is working on a software fix to address the root cause of the issue.
>> 
>> We have also been working with CoSo on options to re-enable Adobe Connect in the shorter term. We have determined there are two viable paths to accomplish this goal. They are:
>> 
>> Deploy a hardened configuration to eliminate "man-in-the-middle" exploitations by encrypting relevant traffic, or
>> Implement a programmatic fix from CoSo Cloud to substantially reduce the window during which the issue can be exploited.
>> With respect to the first option, we attempted to hack the hardened configuration in a test environment last week, and were not able to do so over the course of 7 hours. Separately, CoSo Cloud and Adobe conducted similar tests and confirmed that this configuration is protected from exploitation of the issue.
>> 
>>  
>> 
>> Community Feedback and Next Steps
>> 
>> For the last three weeks, we have been gathering limited feedback regarding users' experiences with WebEx and Zoom. So far, we have input from about 200 people, including ICANN org meeting organizers and the ICANN community. Our analysis of this feedback indicates a desire to revert back to an Adobe Connect, providing the security of the service is ensured.
>> 
>> Accordingly, we would like to propose the following plan to the broader community for consideration:
>> 
>> We would like to restore Adobe Connect services with both the new hardened configuration and the programmatic fix discussed above. Our intent would be to restore service by 3 May. This would allow us to use Adobe Connect during several upcoming events including the Board Workshop, the GDD Industry Summit, and ICANN62.
>> Once Adobe releases a new version of the software with a fix for this issue from their perspective, and provides assurance the update has been adequately tested, we will move toward that release of Adobe Connect in a prudent manner, with the help of CoSo Cloud.
>>  
>> 
>> We believe that this approach will ensure the security of our content, and of our community interactions, while also enabling our community to use the collaboration tools of their choice.
>> 
>>  
>> 
>> Before we make these changes, we want to hear from you. What do you think? Please submit your thoughts on this contemplated move before May 2nd here: RP-tool en icann.org
>> 
>>  
>> 
>> Meanwhile, we will continue to offer WebEx and Zoom for RP and collaboration purposes. We will also continue to follow industry developments, including the research ALAC is doing on the RP and collaboration space, to ensure we are using secure and cost-effective tools that are appropriate for our needs.
>> 
>>  
>> 
>> I look forward to your comments!
>> 
>>  
>> 
>>  
>> 
>>  
>> 
>> 
>> _______________________________________________
>> lac-discuss-es mailing list
>> lac-discuss-es en atlarge-lists.icann.org
>> https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
>> 
>> http://www.lacralo.org
> 
> 
> 
> -- 
> - - - - - - - - - - - - - - - - - - - - - - - - - - -
>      Dr. Alejandro Pisanty
> Facultad de Química UNAM
> Av. Universidad 3000, 04510 Mexico DF Mexico
> +52-1-5541444475 FROM ABROAD
> +525541444475 DESDE MÉXICO SMS +525541444475
> Blog: http://pisanty.blogspot.com
> LinkedIn: http://www.linkedin.com/in/pisanty
> Unete al grupo UNAM en LinkedIn, http://www.linkedin.com/e/gis/22285/4A106C0C8614
> Twitter: http://twitter.com/apisanty
> ---->> Unete a ISOC Mexico, http://www.isoc.org
> .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://atlarge-lists.icann.org/pipermail/lac-discuss-es/attachments/20180423/eea4aebd/attachment-0001.html>

Más información sobre la lista de distribución lac-discuss-es