stringtranslate.com

Seguridad a través de la oscuridad

La seguridad a través de la oscuridad no debe utilizarse como la única característica de seguridad de un sistema.

En ingeniería de seguridad , la seguridad por ocultación es la práctica de ocultar los detalles o mecanismos de un sistema para mejorar su seguridad. Este enfoque se basa en el principio de ocultar algo a simple vista , similar al juego de manos de un mago o al uso del camuflaje . Se aparta de los métodos de seguridad tradicionales, como las cerraduras físicas, y se trata más de ocultar información o características para disuadir amenazas potenciales. Algunos ejemplos de esta práctica incluyen disfrazar información confidencial dentro de elementos comunes, como un trozo de papel en un libro, o alterar huellas digitales, como falsificar el número de versión de un navegador web . Si bien no es una solución independiente, la seguridad por ocultación puede complementar otras medidas de seguridad en ciertos escenarios. [1]

En el contexto de la ingeniería de seguridad, la oscuridad es la noción de que la información puede protegerse, hasta cierto punto, cuando es difícil acceder a ella o comprenderla. Este concepto se basa en el principio de hacer que los detalles o el funcionamiento de un sistema sean menos visibles o comprensibles, reduciendo así la probabilidad de acceso o manipulación no autorizados. [2]

Historia

Un temprano oponente de la seguridad a través de la oscuridad fue el cerrajero Alfred Charles Hobbs , quien en 1851 demostró al público cómo se podían abrir las cerraduras de última generación. En respuesta a las preocupaciones de que exponer fallas de seguridad en el diseño de las cerraduras podría hacerlas más vulnerables a los delincuentes, dijo: "Los delincuentes son muy entusiastas en su profesión y ya saben mucho más de lo que podemos enseñarles". [3]

Hay poca literatura formal sobre la cuestión de la seguridad a través de la oscuridad. Los libros sobre ingeniería de seguridad citan la doctrina de Kerckhoff de 1883, si es que citan algo. Por ejemplo, en un debate sobre el secreto y la apertura en el mando y control nuclear :

Se consideraba que los beneficios de reducir la probabilidad de una guerra accidental superaban los posibles beneficios del secreto. Se trata de una reencarnación moderna de la doctrina de Kerckhoff, planteada por primera vez en el siglo XIX, según la cual la seguridad de un sistema debería depender de su clave, no de que su diseño se mantuviera oculto. [4]

Peter Swire ha escrito sobre la disyuntiva entre la noción de que "la seguridad a través de la oscuridad es una ilusión" y la noción militar de que " los labios sueltos hunden barcos ", [5] así como sobre cómo la competencia afecta los incentivos para revelar información. [6] [ se necesita más explicación ]

Existen historias contradictorias sobre el origen de este término. Los fanáticos del Sistema de Tiempo Compartido Incompatible (ITS) del MIT dicen que fue acuñado en oposición a los usuarios de Multics al final del pasillo, para quienes la seguridad era un problema mucho mayor que en ITS. Dentro de la cultura ITS, el término se refería, en tono de autoburla, a la pobre cobertura de la documentación y la oscuridad de muchos comandos, y a la actitud de que cuando un turista descubría cómo causar problemas, generalmente ya había superado el impulso de hacerlo, porque se sentía parte de la comunidad. Se ha observado un ejemplo de seguridad deliberada a través de la oscuridad en ITS: el comando para permitir parchear el sistema ITS en ejecución (altmode altmode control-R) se repitió como . Al escribir Alt Alt Control-D se establecía una bandera que impediría parchear el sistema incluso si el usuario lo hacía correctamente más tarde. [7]$$^D

En enero de 2020, la NPR informó que los funcionarios del Partido Demócrata en Iowa se negaron a compartir información sobre la seguridad de su aplicación para las asambleas electorales , para "asegurarse de que no estamos transmitiendo información que pueda usarse en nuestra contra". Los expertos en ciberseguridad respondieron que "ocultar los detalles técnicos de su aplicación no hace mucho por proteger el sistema". [8]

Crítica

Los organismos de normalización no recomiendan ni desaconsejan la seguridad basada únicamente en la oscuridad. El Instituto Nacional de Normas y Tecnología (NIST) de los Estados Unidos recomienda no aplicar esta práctica: "La seguridad del sistema no debería depender de la confidencialidad de la implementación o de sus componentes". [9] El proyecto Common Weakness Enumeration incluye la "Dependencia de la seguridad mediante la oscuridad" en la lista CWE-656. [10]

Un gran número de criptosistemas de telecomunicaciones y gestión de derechos digitales utilizan la seguridad por oscuridad, pero finalmente han sido descifrados. Entre ellos se incluyen componentes de GSM , cifrado GMR , cifrado GPRS , varios esquemas de cifrado RFID y, más recientemente, la radio troncal terrestre (TETRA). [11]

Uno de los mayores defensores de la seguridad por opacidad que se ve comúnmente hoy en día es el software antimalware. Sin embargo, lo que ocurre normalmente con este punto único de falla es una carrera armamentista en la que los atacantes encuentran nuevas formas de evitar ser detectados y los defensores inventan firmas cada vez más artificiales pero secretas para detectar. [12]

La técnica contrasta con la seguridad por diseño y la seguridad abierta , aunque muchos proyectos del mundo real incluyen elementos de todas las estrategias.

Oscuridad en la arquitectura vs. técnica

El conocimiento de cómo se construye el sistema difiere del ocultamiento y el camuflaje . La eficacia de la oscuridad en la seguridad de las operaciones depende de si la oscuridad se suma a otras buenas prácticas de seguridad o si se utiliza sola. [13] Cuando se utiliza como una capa independiente, la oscuridad se considera una herramienta de seguridad válida. [14]

En los últimos años, versiones más avanzadas de la "seguridad a través de la oscuridad" han ganado apoyo como metodología en ciberseguridad a través de la defensa de objetivos móviles y el engaño cibernético . [15] El marco de resiliencia cibernética del NIST, 800-160 Volumen 2, recomienda el uso de la seguridad a través de la oscuridad como una parte complementaria de un entorno informático resistente y seguro. [16]

Véase también

Referencias

  1. ^ Zwicky, Elizabeth D.; Cooper, Simon; Chapman, D. Brent (26 de junio de 2000). Construcción de cortafuegos de Internet: seguridad en Internet y en la Web. "O'Reilly Media, Inc." ISBN 978-0-596-55188-9.
  2. ^ Selinger, Evan y Hartzog, Woodrow, Obscurity and Privacy (21 de mayo de 2014). Routledge Companion to Philosophy of Technology (Joseph Pitt y Ashley Shew, eds., 2014, de próxima aparición), disponible en SSRN: https://ssrn.com/abstract=2439866
  3. ^ Stross, Randall (17 de diciembre de 2006). «Theatre of the Absurd at the TSA» The New York Times . Archivado desde el original el 8 de diciembre de 2022. Consultado el 5 de mayo de 2015 .
  4. ^ Anderson, Ross (2001). Ingeniería de seguridad: una guía para construir sistemas distribuidos confiables . Nueva York, NY: John Wiley & Sons, Inc. p. 240. ISBN 0-471-38922-6.
  5. ^ Swire, Peter P. (2004). "Un modelo para determinar cuándo la divulgación contribuye a la seguridad: ¿Qué tiene de diferente la seguridad informática y de redes?". Revista de Derecho de las Telecomunicaciones y la Alta Tecnología . 2. SSRN 531782  .
  6. ^ Swire, Peter P. (enero de 2006). "Una teoría de la divulgación por razones de seguridad y competitividad: código abierto, software propietario y agencias gubernamentales". Houston Law Review . 42 . SSRN  842228.
  7. ^ "seguridad a través de la oscuridad". The Jargon File . Archivado desde el original el 29 de marzo de 2010. Consultado el 29 de enero de 2010 .
  8. ^ "A pesar de los temores por la seguridad electoral, los caucus de Iowa utilizarán una nueva aplicación para teléfonos inteligentes". NPR.org . Archivado desde el original el 23 de diciembre de 2022 . Consultado el 6 de febrero de 2020 .
  9. ^ "Guía de seguridad general para servidores" (PDF; 258 kB) . Instituto Nacional de Estándares y Tecnología . 1 de julio de 2008. Archivado (PDF) desde el original el 9 de agosto de 2017.
  10. ^ "CWE-656: Confianza en la seguridad a través de la oscuridad". The MITRE Corporation. 18 de enero de 2008. Archivado desde el original el 28 de septiembre de 2023. Consultado el 28 de septiembre de 2023 .
  11. ^ Midnight Blue (agosto de 2023). TODOS LOS POLICÍAS ESTÁN TRANSMITIENDO: Rompiendo TETRA después de décadas en las sombras (presentación de diapositivas) (PDF) . Blackhat USA 2023. Archivado (PDF) del original el 2023-08-11 . Consultado el 2023-08-11 .
    Carlo Meijer; Wouter Bokslag; Jos Wetzels (agosto de 2023). Todos los policías están transmitiendo: TETRA bajo escrutinio (documento) (PDF) . Usenix Security 2023. Archivado (PDF) del original el 2023-08-11 . Consultado el 2023-08-11 .
  12. ^ KPMG (mayo de 2022). «El juego del gato y el ratón para evadir los antivirus». Archivado desde el original el 28 de agosto de 2023. Consultado el 28 de agosto de 2023 .
  13. ^ "La oscuridad es una capa de seguridad válida - Daniel Miessler". Daniel Miessler . Archivado desde el original el 2022-12-08 . Consultado el 2018-06-20 .
  14. ^ "Cyber ​​Deception | CSIAC" (Engaño cibernético | CSIAC). www.csiac.org . Archivado desde el original el 20 de abril de 2021. Consultado el 20 de junio de 2018 .
  15. ^ "CSD-MTD". Departamento de Seguridad Nacional . 25 de junio de 2013. Archivado desde el original el 8 de diciembre de 2022. Consultado el 20 de junio de 2018 .
  16. ^ Ross, Ron; Graubart, Richard; Bodeau, Deborah; McQuaid, Rosalie (21 de marzo de 2018). Ingeniería de seguridad de sistemas: consideraciones de ciberresiliencia para la ingeniería de sistemas seguros y confiables (informe). Instituto Nacional de Estándares y Tecnología. Archivado desde el original el 6 de diciembre de 2023. Consultado el 5 de abril de 2024 .

Enlaces externos