stringtranslate.com

Seguridad a través de la oscuridad

La seguridad a través de la oscuridad (o seguridad por oscuridad ) es la confianza en el secreto como método principal para proporcionar seguridad a un sistema o componente, específicamente en ingeniería de seguridad , ya sea en el diseño o la implementación.

Historia

Uno de los primeros oponentes a la seguridad a través de la oscuridad fue el cerrajero Alfred Charles Hobbs , quien en 1851 demostró al público cómo se podían abrir cerraduras con la última tecnología. En respuesta a las preocupaciones de que exponer fallas de seguridad en el diseño de las cerraduras podría hacerlas más vulnerables a los delincuentes, dijo: "Los pícaros son muy entusiastas en su profesión y ya saben mucho más de lo que podemos enseñarles". [1]

Existe escasa literatura formal sobre el tema de la seguridad a través de la oscuridad. Los libros sobre ingeniería de seguridad citan la doctrina de Kerckhoffs de 1883, si es que citan algo. Por ejemplo, en una discusión sobre el secreto y la apertura en el Comando y Control Nuclear:

[L]os beneficios de reducir la probabilidad de una guerra accidental se consideraban mayores que los posibles beneficios del secreto. Se trata de una reencarnación moderna de la doctrina de Kerckhoff , propuesta por primera vez en el siglo XIX, de que la seguridad de un sistema debería depender de su clave, no de que su diseño permanezca oscuro. [2]

Peter Swire ha escrito sobre el equilibrio entre la noción de que "la seguridad a través de la oscuridad es una ilusión" y la noción militar de que " los labios flojos hunden los barcos ", [3] así como sobre cómo la competencia afecta los incentivos para revelar información. [4] [ se necesita más explicación ]

Hay historias contradictorias sobre el origen de este término. Los fanáticos del Sistema de Tiempo Compartido Incompatible (ITS) del MIT dicen que fue acuñado en oposición a los usuarios de Multics , para quienes la seguridad era mucho más un problema que en ITS. Dentro de la cultura ITS, el término se refería, en tono de burla, a la escasa cobertura de la documentación y a la oscuridad de muchas órdenes, y a la actitud de que, cuando un turista descubría cómo causar problemas, generalmente ya había superado la necesidad de hacerlo, porque se sentía parte de la comunidad. Se ha observado un caso de seguridad deliberada a través de oscuridad en ITS: el comando para permitir parchear el sistema ITS en ejecución (altmode altmode control-R) se hizo eco como . Al escribir Alt Alt Control-D se establecía una bandera que impediría parchear el sistema incluso si el usuario luego lo hacía bien. [5]$$^D

En enero de 2020, NPR informó que funcionarios del partido demócrata en Iowa se negaron a compartir información sobre la seguridad de su aplicación de caucus , para "asegurarnos de que no estamos transmitiendo información que podría usarse en nuestra contra". Los expertos en ciberseguridad respondieron que "ocultar los detalles técnicos de su aplicación no ayuda mucho a proteger el sistema". [6]

Crítica

Los organismos de normalización desaconsejan y no recomiendan la seguridad únicamente mediante oscuridad. El Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos desaconseja esta práctica: "La seguridad del sistema no debe depender del secreto de la implementación o de sus componentes". [7] El proyecto de enumeración de debilidades comunes enumera "Confianza en la seguridad a través de la oscuridad" como CWE-656. [8]

Una gran cantidad de criptosistemas de gestión de derechos digitales y telecomunicaciones utilizan la seguridad a través de la oscuridad, pero finalmente se han roto. Estos incluyen componentes de GSM , cifrado GMR , cifrado GPRS , una serie de esquemas de cifrado RFID y, más recientemente, Terrestrial Trunked Radio (TETRA). [9]

Uno de los mayores defensores de la seguridad a través de la oscuridad que se ve comúnmente en la actualidad es el software antimalware. Sin embargo, lo que normalmente ocurre con este único punto de falla es una carrera armamentista en la que los atacantes encuentran nuevas formas de evitar la detección y los defensores crean firmas cada vez más artificiales pero secretas para señalar. [10]

La técnica contrasta con la seguridad por diseño y la seguridad abierta , aunque muchos proyectos del mundo real incluyen elementos de todas las estrategias.

Oscuridad en arquitectura versus técnica

El conocimiento de cómo está construido el sistema difiere del ocultamiento y el camuflaje . La eficacia de la oscuridad en la seguridad de las operaciones depende de si la oscuridad se suma a otras buenas prácticas de seguridad o si se utiliza sola. [11] Cuando se utiliza como capa independiente, la oscuridad se considera una herramienta de seguridad válida. [12]

En los últimos años, versiones más avanzadas de "seguridad a través de la oscuridad" han ganado apoyo como metodología en ciberseguridad a través de Moving Target Defense y el ciberengaño . [13] El marco de resiliencia cibernética del NIST, 800-160 Volumen 2, recomienda el uso de la seguridad a través de la oscuridad como parte complementaria de un entorno informático resistente y seguro. [14]

Ver también

Referencias

  1. ^ Stross, Randall (17 de diciembre de 2006). «Teatro del Absurdo en la TSA» The New York Times . Consultado el 5 de mayo de 2015 .
  2. ^ Anderson, Ross (2001). Ingeniería de seguridad: una guía para construir sistemas distribuidos confiables . Nueva York, Nueva York: John Wiley & Sons, Inc. p. 240.ISBN 0-471-38922-6.
  3. ^ Swire, Peter P. (2004). "Un modelo para saber cuándo la divulgación ayuda a la seguridad: ¿Qué tiene de diferente la seguridad informática y de redes?". Revista de Derecho de las Telecomunicaciones y Altas Tecnologías . 2 . SSRN  531782.
  4. ^ Swire, Peter P. (enero de 2006). "Una teoría de la divulgación por motivos de seguridad y competencia: código abierto, software propietario y agencias gubernamentales". Revisión de la ley de Houston . 42 . SSRN  842228.
  5. ^ "seguridad a través de la oscuridad". El archivo de jerga .
  6. ^ "A pesar de los temores sobre la seguridad electoral, los caucus de Iowa utilizarán una nueva aplicación para teléfonos inteligentes". NPR.org .
  7. ^ "Guía de seguridad general del servidor" (PDF; 258 kB) . Instituto Nacional de Estándares y Tecnología. 2008-07-01 . Consultado el 2 de octubre de 2011 .
  8. ^ "CWE-656: Confianza en la seguridad a través de la oscuridad". La Corporación MITRE. 2008-01-18 . Consultado el 28 de septiembre de 2023 .
  9. ^ Azul medianoche (agosto de 2023). TODOS LOS POLICÍAS ESTÁN TRANSMITIENDO: Rompiendo TETRA después de décadas en las sombras (presentación de diapositivas) (PDF) . Blackhat Estados Unidos 2023.
    Carlos Meijer; Wouter Bokslag; Jos Wetzels (agosto de 2023). Todos los policías están transmitiendo: TETRA bajo escrutinio (papel) (PDF) . Seguridad Usenix 2023.
  10. ^ KPMG (mayo de 2022). "El juego del gato y el ratón de evasión antivirus".
  11. ^ "La oscuridad es una capa de seguridad válida - Daniel Miessler". Daniel Miessler . Consultado el 20 de junio de 2018 .
  12. ^ "Ciberengaño | CSIAC". www.csiac.org . Consultado el 20 de junio de 2018 .
  13. ^ "CSD-MTD". Departamento de Seguridad Nacional . 25 de junio de 2013 . Consultado el 20 de junio de 2018 .
  14. ^ (NIST), Autor: Ron Ross; (MITRA), Autor: Richard Graubart; (MITRA), Autor: Deborah Bodeau; (MITRE), Autor: Rosalie McQuaid (21 de marzo de 2018). "SP 800-160 Vol. 2 (BORRADOR), Ingeniería de seguridad de sistemas: consideraciones de resiliencia cibernética para la ingeniería de sistemas seguros confiables". csrc.nist.gov . Consultado el 20 de junio de 2018 . {{cite journal}}: |first1=tiene nombre genérico ( ayuda )

enlaces externos