El gran debate: la seguridad por oscuridad


El término seguridad por oscuridad suele suscitar burlas en las personas que trabajan con la seguridad, especialmente los que se consideran expertos.





La reacción es similar a cuando en algunos círculos se dice una palabrota y es que la seguridad por oscuridad, tal como se indica en Wikipedia (es.wikipedia.org/wiki/Seguridad_por_oscuridad), representa uno de los aspectos más polémicos en esta materia. Se suelen hacer referencias burlonas como "no es más que seguridad por oscuridad" que desestiman el esfuerzo de algunas personas.

La seguridad por oscuridad es, en pocas palabras, una infracción del principio de Kerckhoffs, que afirma que un sistema debe ser seguro por su diseño, no porque un adversario no conozca su diseño. La premisa básica del principio de Kerckhoffs es que los secretos dejan de serlo en poco tiempo.

Como ejemplo, el diseño del protocolo de autenticación de Windows NT® LAN Manager (NTLM) inicialmente se consideró un secreto. Para implementar el producto de interoperabilidad Samba para sistemas operativos basados en UNIX, el equipo de Samba tuvo que invertir la ingeniería del protocolo. Como consecuencia, se creó una documentación más completa de NTLM (monyo.com/technical/samba/translation/ntlm.en.html), además de detectarse algunos errores.

Debido a que la mayor parte de la seguridad dejó de usar la criptografía y se han revelado tantos secretos de diseño, muchos encargados de la seguridad creen que la seguridad de la información debería seguir el principio de Kerckhoffs (La seguridad de un cifrado debe depender exclusivamente de la clave: un
enemigo en posesión del texto cifrado y los procedimientos de cifrado, pero NO la clave, será incapaz de recomponer el mensaje original.
).

¿Pero la seguridad por oscuridad es poco recomendable en cualquier situación? En este artículo, explicaremos qué es la seguridad por oscuridad, trataremos de esclarecer por qué muchos la consideran una pérdida de tiempo, y por qué otros no, y le mostraremos por qué, como de costumbre, la respuesta es mucho más complicada de lo que parece al principio.

Seguir leyendo en Technet Magazine (español)

Fuente:
http://blog.segu-info.com.ar



Otras noticias de interés:

VII JORNADA NACIONAL DE SEGURIDAD INFORMÁTICA ACIS 2007
Las Jornadas Nacionales de Seguridad Informática, como una iniciativa colombiana para desarrollar y promover la investigación académica y científica en el área de seguridad informática, invita a todos aquellos interesados en presentar trabaj...
Google publicó un manual de seguridad de navegadores
Google publicó el miércoles un manual para desarrolladores Web que destaca las características clave y defectos de los navegadores Web más importantes....
Otra más hackeada, le toco el turno al Ministerio de Educación Superior
Siguen en aumento los sitios del Gobierno que estan sufriendo de desface ...
Semáforos como repetidores Wifi para uso ciudadano?
En noticiasdot.com aparece una nota donde indican que La Universidad Politécnica de Cataluña (UPC) está estudiando la forma de hacer que los semáforos de las calles se puedan convertir en retrasmisoras de señales wifi, de lograrse esto sería un...
Cisco Systems adquiere la empresa de "software" SignalWorks
El grupo estadounidense Cisco Systems, especialista en redes e infraestructuras de Internet, ha suscrito un acuerdo definitivo para la adquisición de la compañía de software avanzado SignalWorks, por un montante de 13,5 millones de dólares (12,...
RSA Conference deja al descubierto los agujeros de cloud computing
RSA Conference siempre ha sabido seguir el rastro de las principales tendencias de mercado para someterlas al implacable escrutinio de los expertos en seguridad. Por ello, no es de extrañar que este año la atención de la primera conferencia sobre ...
Distribución para el análisis forense
La gente de AEDEL nos anuncia hoy la publicación de una distribución forense completamente gratuita y colaborativa llamada Ad|Quiere....
La industria de la música demanda de nuevo a los creadores de Morpheus
La industria de la música presentó una nueva demanda de violación de derechos de autor contra los diseñadores del servicio de intercambio de archivos, Morpheus, casi un mes después de sufrir una derrota en su lucha legal contra este sistema...
Curso para principiantes en UBUNTU (Parte 5 y 6)
Seguimos con los videotutoriales realizado por Jesús Conde de videotutoriales.com, esta vez presentamos la partes 5 y 6. En esta oportunidad los videos muestran:...
La mayoría de los internautas no saben que sus pasos quedan registrados
Puede que nuestros lectores sí estén al tanto, pero la inmensa mayoría de los usuarios de Internet no tienen la percepción de que todo lo que visitan o compran online queda registrado en mayor o menor medida....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debate
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • oscuridad
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra