SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

18 jul 2007

Segu-Info » » Ideas estúpidas sobre seguridad informática

Ideas estúpidas sobre seguridad informática

18 jul 2007, 8:47:00 p.m.   Comenta primero!
   

En un reciente editorial, Marcus J. Ranum, un conocido experto en seguridad, describe lo que él considera las ideas más estúpidas desarrolladas en el campo de la seguridad informática. Encuentro este punto de vista muy interesante y divertido, así que he decidido compartir con vosotros su lista de ideas estúpidas, con algunas notas y comentarios de mi propia cosecha.

Para Ranum el primer problema es la teoría de sistemas abiertos por defecto, por ejemplo: permitir cualquier operación en un sistema salvo que esté específicamente denegada. Probablemente pienses: ¿A quién se le podría ocurrir configurar un firewall con semejante punto de vista? Aunque se me ocurren un par de ejemplos de entre mis clientes, a pesar de todo tienes razón, en la actualidad damos por supuesto que todos los cortafuegos poseen una
política de cerrado por defecto; pero piensa en las redes sin segmentación interna… ¿No es esto otra forma de tener todo abierto por defecto? ¿Y qué sucede con aquellos sistemas operativos que permiten la ejecución de una parte de código desconocido, a pesar de que la mayor parte de los usuarios sólo utilizan un pequeño conjunto de aplicaciones? Sin mencionar todo el revuelo generado alrededor de los sistemas de prevención de intrusiones: bajo este nombre tan llamativo se engloban objetos ordinarios que eliminan los ataques conocidos. En otras palabras: si no es
un ataque conocido, deja que pase, así que éste es otro ejemplo de sistema abierto por defecto.

Esto nos lleva a la segunda idea estúpida según Ranum: enumeración de la maldad. En otras palabras, desarrollar tu sistema de seguridad de acuerdo con una lista de cosas malas que no quieres que sucedan. Por ejemplo: virus, spam y troyanos, pero ¿por qué perder el tiempo haciendo una lista de miles de cosas malas cuando, sencillamente, podemos dar autorización a unas aplicaciones específicas, y a nada más, para que puedan ejecutarse en nuestro PC?
Lo mismo sucede con los sistemas de filtrado de tráfico. Por lo general, podemos saber que nuestro sistema de seguridad está basado en el principio de enumeración de la maldad cuando nuestro software necesita una constante actualización de definiciones.

La tercera idea estúpida descrita por Ranum: es la idea de Penetrar y Parchear, pero yo encuentro esta idea menos convincente. Por un lado, estoy de acuerdo con la afirmación de que hay algunas (pocas) aplicaciones, como qmail o Postfix que prácticamente no tienen errores ni vulnerabilidades, ya que han sido diseñadas teniendo como idea central la seguridad. Así que, como Marcus, creo que en el campo de la ingeniería de software la cuestión es invertir la tendencia. Sin embargo, creo que tener a alguien encargado de intentar derribar los sistemas de seguridad con tests de penetración es muy útil para el usuario final, para que éste pueda estar seguro de que todo se ha hecho correctamente. Pero – ya que tantos clientes míos me lo preguntan – puede que yo no sea la persona más adecuada para hacer comentarios sobre esto.

La cuarta idea estúpida tampoco me convence: Ranum dice que debemos dejar de pensar que hackear es bueno y empezar a pensar que la buena ingeniería es mejor. Bueno, mi respuesta a esto es sí y no: necesitamos ingenieros para construir software diseñado de forma robusta, pero también necesitamos mentes flexibles que cuestionen la seguridad y nos demuestren que lo que se creía imposible es posible, actuando de esta forma como hackers.

Me saltaré la quinta idea estúpida (educar a los usuarios no funciona…), y me gustaría darle un consejo a Ranum sobre la sexta idea estúpida: A veces, es mejor no hacer nada que hacer algo estúpido. Antes de gastarse decenas de miles de euros en tecnologías nuevas y poco probadas, es mejor gastarse el dinero en alguien que tenga las habilidades necesarias para ayudarnos a saber qué hacer. Merece la pena entender en primer lugar qué es lo que ha salido mal, antes de promover nuevas políticas de seguridad que no se van a utilizar.

Si el eslogan de Google es no seas malo, sugiero que el nuestro sea no seas estúpido. Es más difícil de lo que parece, créeme.

Sobre el autor
Stefano Zanero es un estudiante de doctorado del Departamento de Electrónica e Información de la Politécnica de Milán.
Sus intereses académicos incluyen los Sistemas de Detección de Intrusiones, el rendimiento de los sistemas de seguridad y la seguridad de las aplicaciones web. Ponente en muchas conferencias, también es autor de libros y artículos publicados en varias revistas. Asimismo es miembro del consejo del Journal in Computer Virology, y trabaja revisando artículos para ACM Computing Reviews y para IEEE Security&Privacy. Es columnista del semanario Security Manager’s Journal en Computer World Italy, y ha recibido un premio de periodismo. Desde 2004 es socio y CTO de Secure Network, una empresa con sede en Milán especializada en formación y consulting sobre seguridad de la información.

Artículo publicado en la revista Hakin9

Fuente: http://www.dragonjar.org/ideas-estupidas-sobre-seguridad-informatica.xhtml



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!