El gran debate: la seguridad por oscuridad


El término seguridad por oscuridad suele suscitar burlas en las personas que trabajan con la seguridad, especialmente los que se consideran expertos.





La reacción es similar a cuando en algunos círculos se dice una palabrota y es que la seguridad por oscuridad, tal como se indica en Wikipedia (es.wikipedia.org/wiki/Seguridad_por_oscuridad), representa uno de los aspectos más polémicos en esta materia. Se suelen hacer referencias burlonas como "no es más que seguridad por oscuridad" que desestiman el esfuerzo de algunas personas.

La seguridad por oscuridad es, en pocas palabras, una infracción del principio de Kerckhoffs, que afirma que un sistema debe ser seguro por su diseño, no porque un adversario no conozca su diseño. La premisa básica del principio de Kerckhoffs es que los secretos dejan de serlo en poco tiempo.

Como ejemplo, el diseño del protocolo de autenticación de Windows NT® LAN Manager (NTLM) inicialmente se consideró un secreto. Para implementar el producto de interoperabilidad Samba para sistemas operativos basados en UNIX, el equipo de Samba tuvo que invertir la ingeniería del protocolo. Como consecuencia, se creó una documentación más completa de NTLM (monyo.com/technical/samba/translation/ntlm.en.html), además de detectarse algunos errores.

Debido a que la mayor parte de la seguridad dejó de usar la criptografía y se han revelado tantos secretos de diseño, muchos encargados de la seguridad creen que la seguridad de la información debería seguir el principio de Kerckhoffs (La seguridad de un cifrado debe depender exclusivamente de la clave: un
enemigo en posesión del texto cifrado y los procedimientos de cifrado, pero NO la clave, será incapaz de recomponer el mensaje original.
).

¿Pero la seguridad por oscuridad es poco recomendable en cualquier situación? En este artículo, explicaremos qué es la seguridad por oscuridad, trataremos de esclarecer por qué muchos la consideran una pérdida de tiempo, y por qué otros no, y le mostraremos por qué, como de costumbre, la respuesta es mucho más complicada de lo que parece al principio.

Seguir leyendo en Technet Magazine (español)

Fuente:
http://blog.segu-info.com.ar



Otras noticias de interés:

Microsoft ama a los hackers éticos
En una acción nunca vista hasta ahora de parte de alguna gran empresa, Microsoft se comprometió públicamente a no presentar demandas o cargos, contra los hackers éticos que de manera responsable, encuentren e informen de los fallos de sus servi...
Ataques a los proveedores de infraestructuras han costado 850k dolares
Aproximadamente la mitad de los proveedores de infraestructuras críticas ha sufrido ciberataques de origen terrorista o patrocinados por algún estado, según la encuesta 2010 sobre protección de infraestructuras críticas de Symantec....
Ejecución remota de código en impresoras multifunción Xerox
Se ha encontrado una vulnerabilidad en el controlador de red/ESS de las impresoras multifunción WorkCentre de Xerox que podría ser explotada por un atacante de la red local para ejecutar código arbitrario en la impresora....
Desbordamiento de buffer en el navegador Opera
@stake ha anunciado -en www.atstake.com/research/advisories/2003/a102003-1.txt - la existencia de una vulnerabilidad en el navegador Opera que posibilita la ejecución de código....
Ciberespacio y Ciberseguridad
Los términos ciberespacio y ciberseguridad gozan ya de un uso generalizado por amplios sectores de nuestra sociedad. Sin embargo, antes de abordar un análisis del estado de la ciberseguridad en España y de proponer una aproximación a su gestión,...
Día de la Libertad del Documento 2009
Por segundo año consecutivo se celebra en el día de la fecha el Día de la Libertad del Documento....
Duro golpe al Software libre. Compran al antivirus ClamAV
Sourcefire ha anunciado la compra de ClamAV a los cinco líderes del popular proyecto open source. Como era de esperar, el anuncio ha suscitado todo tipo de reacciones en la comunidad ClamAV. ...
Advertencia europea contra las nuevas cookies
Más incontrolables. Más ocultas. Más letales. Son las nuevas y evolucionadas cookies, que hacen que nuestra navegación por Internet sea mucho menos segura y nuestros datos filtrados hacia numerosas fuentes fuera de nuestro control y llenas de osc...
SWFScan - Herramienta Free de HP para detectar vulnerabilidades en las animaciones Flash
Hewlett-Packard está ofreciendo gratuitamente SWFScan, diseñado para desarrolladores sin conocimientos de seguridad, el cual detecta vulnerabilidades en las animaciones Flash en sitios web....
IAB Europe condena el re-spawning
El pasado verano se identificó una práctica conocida como re-spawning (regeneración) consistente en el restablecimiento automático, a partir de una copia de seguridad, de una cookie que había sido eliminada de manera previa. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debate
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • oscuridad
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra