El gran debate: la seguridad por oscuridad


El término seguridad por oscuridad suele suscitar burlas en las personas que trabajan con la seguridad, especialmente los que se consideran expertos.





La reacción es similar a cuando en algunos círculos se dice una palabrota y es que la seguridad por oscuridad, tal como se indica en Wikipedia (es.wikipedia.org/wiki/Seguridad_por_oscuridad), representa uno de los aspectos más polémicos en esta materia. Se suelen hacer referencias burlonas como "no es más que seguridad por oscuridad" que desestiman el esfuerzo de algunas personas.

La seguridad por oscuridad es, en pocas palabras, una infracción del principio de Kerckhoffs, que afirma que un sistema debe ser seguro por su diseño, no porque un adversario no conozca su diseño. La premisa básica del principio de Kerckhoffs es que los secretos dejan de serlo en poco tiempo.

Como ejemplo, el diseño del protocolo de autenticación de Windows NT® LAN Manager (NTLM) inicialmente se consideró un secreto. Para implementar el producto de interoperabilidad Samba para sistemas operativos basados en UNIX, el equipo de Samba tuvo que invertir la ingeniería del protocolo. Como consecuencia, se creó una documentación más completa de NTLM (monyo.com/technical/samba/translation/ntlm.en.html), además de detectarse algunos errores.

Debido a que la mayor parte de la seguridad dejó de usar la criptografía y se han revelado tantos secretos de diseño, muchos encargados de la seguridad creen que la seguridad de la información debería seguir el principio de Kerckhoffs (La seguridad de un cifrado debe depender exclusivamente de la clave: un
enemigo en posesión del texto cifrado y los procedimientos de cifrado, pero NO la clave, será incapaz de recomponer el mensaje original.
).

¿Pero la seguridad por oscuridad es poco recomendable en cualquier situación? En este artículo, explicaremos qué es la seguridad por oscuridad, trataremos de esclarecer por qué muchos la consideran una pérdida de tiempo, y por qué otros no, y le mostraremos por qué, como de costumbre, la respuesta es mucho más complicada de lo que parece al principio.

Seguir leyendo en Technet Magazine (español)

Fuente:
http://blog.segu-info.com.ar



Otras noticias de interés:

Actualización de phpMyAdmin corrige vulnerabilidades
phpMyAdmin, la herramienta de código abierto empleada para la gestión de bases de datos online, ha lanzado en el día de hoy una actualización de seguridad que soluciona 4 vulnerabilidades detectadas en la aplicación....
Vulnerabilidades en AWStats
Se han detectado vulnerabilidades en AWStats 6.95 y 7.0 que podrían permitir a un atacante remoto realizar diferentes tipos de ataques....
Aumenta el impacto de los virus informáticos
En el año 2003, los ataques de virus han sido más frecuentes y costosos, según el último informe anual sobre incidencias víricas de ICSA Labs, del que se ha hecho eco The Register....
Los píratas informáticos llenan Twitter de botnets
Entre los cibercriminales se está extendiendo el uso de TwitterNETBuilder, una herramienta que se sirve de perfiles de la plataforma de microblogging para controlar botnets....
Firefox 7 consumirá menos memoria
Firefox 7 será más rápido que sus predecesores, y además mejorará la gestión de la memoria....
Facebook te pone en riesgo
Con el fin de evaluar el verdadero peligro que presentan los sitios de redes sociales el equipo de investigación de Check Point simuló una estafa de phishing en una muestra aleatoria de usuarios de Facebook...
Damn Small Linux 4.3 lanzada
DSL, una de las distribuciones GNU/Linux más pequeñas, está ya en su versión final 4.3. Esta versión tiene un peso de sólo 49,6 MB. Las características de DSL 4.3 son las siguientes:...
Marzo será el mes de los fallos en PHP
SecurityFocus publica una entrevista con Stefan Esser, fundador del proyecto Hardened-PHP e impulsor del PHP Security Response Team, que ha abandonado recientemente. Durante años ha contribuido al desarrollo de PHP y considera que el núcleo d...
La invasión de la privacidad en Internet
¿No Lo crees? No mires ahora!, te están vigilando. Si, Creelo, Si usas una computadora conectada a Internet, es muy posible en un 99.99% que tengas decenas, si no centenares, de minúsculos fragmentos de códigos de computación alojados en cada r...
Actualización de PHP
Existe una vulnerabilidad en PHP, cuando se ejecuta en modalidad de CGI, que puede ser utilizada por un atacante para acceder al contenido de archivos del servidor web o para forzar la ejecución de código PHP arbitrario....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debate
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • oscuridad
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra