stringtranslate.com

Seguridad a través de la oscuridad

La seguridad a través de la oscuridad no debe usarse como la única característica de seguridad de un sistema.

En ingeniería de seguridad , la seguridad a través de la oscuridad es la práctica de ocultar los detalles o mecanismos de un sistema para mejorar su seguridad. Este enfoque se basa en el principio de ocultar algo a plena vista , similar a un juego de manos de un mago o al uso de camuflaje . Se diferencia de los métodos de seguridad tradicionales, como las cerraduras físicas, y se trata más de ocultar información o características para disuadir posibles amenazas. Ejemplos de esta práctica incluyen disfrazar información confidencial dentro de elementos comunes, como una hoja de papel en un libro, o alterar huellas digitales, como falsificar el número de versión de un navegador web . Si bien no es una solución independiente, la seguridad mediante oscuridad puede complementar otras medidas de seguridad en ciertos escenarios. [1]

La oscuridad en el contexto de la ingeniería de seguridad es la noción de que la información puede protegerse, hasta cierto punto, cuando es difícil de acceder o comprender. Este concepto depende del principio de hacer que los detalles o el funcionamiento de un sistema sean menos visibles o comprensibles, reduciendo así la probabilidad de acceso o manipulación no autorizados. [2]

Historia

Uno de los primeros oponentes a la seguridad a través de la oscuridad fue el cerrajero Alfred Charles Hobbs , quien en 1851 demostró al público cómo se podían abrir cerraduras con la última tecnología. En respuesta a las preocupaciones de que exponer fallas de seguridad en el diseño de las cerraduras podría hacerlas más vulnerables a los delincuentes, dijo: "Los pícaros son muy entusiastas en su profesión y ya saben mucho más de lo que podemos enseñarles". [3]

Existe escasa literatura formal sobre el tema de la seguridad a través de la oscuridad. Los libros sobre ingeniería de seguridad citan la doctrina de Kerckhoffs de 1883, si es que citan algo. Por ejemplo, en una discusión sobre el secreto y la apertura en el mando y control nuclear :

[L]os beneficios de reducir la probabilidad de una guerra accidental se consideraban mayores que los posibles beneficios del secreto. Se trata de una reencarnación moderna de la doctrina de Kerckhoffs, propuesta por primera vez en el siglo XIX, de que la seguridad de un sistema debería depender de su clave, no de que su diseño permanezca oscuro. [4]

Peter Swire ha escrito sobre el equilibrio entre la noción de que "la seguridad a través de la oscuridad es una ilusión" y la noción militar de que " los labios flojos hunden los barcos ", [5] así como sobre cómo la competencia afecta los incentivos para revelar información. [6] [ se necesita más explicación ]

Hay historias contradictorias sobre el origen de este término. Los fanáticos del Sistema de Tiempo Compartido Incompatible (ITS) del MIT dicen que fue acuñado en oposición a los usuarios de Multics , para quienes la seguridad era un problema mucho mayor que en ITS. Dentro de la cultura ITS, el término se refería, de forma burlona, ​​a la escasa cobertura de la documentación y a la oscuridad de muchas órdenes, y a la actitud de que, cuando un turista descubría cómo causar problemas, generalmente ya había superado la necesidad de hacerlo, porque se sentía parte de la comunidad. Se ha observado un caso de seguridad deliberada a través de la oscuridad en ITS: el comando para permitir parchear el sistema ITS en ejecución (altmode altmode control-R) se hizo eco como . Al escribir Alt Alt Control-D se establecía una bandera que impediría parchear el sistema incluso si el usuario luego lo hacía bien. [7]$$^D

En enero de 2020, NPR informó que funcionarios del Partido Demócrata en Iowa se negaron a compartir información sobre la seguridad de su aplicación de caucus , para "asegurarnos de que no estamos transmitiendo información que podría usarse en nuestra contra". Los expertos en ciberseguridad respondieron que "ocultar los detalles técnicos de su aplicación no ayuda mucho a proteger el sistema". [8]

Crítica

Los organismos de normalización desaconsejan y no recomiendan la seguridad únicamente mediante oscuridad. El Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos desaconseja esta práctica: "La seguridad del sistema no debe depender del secreto de la implementación o de sus componentes". [9] El proyecto de enumeración de debilidades comunes enumera "Confianza en la seguridad a través de la oscuridad" como CWE-656. [10]

Una gran cantidad de criptosistemas de gestión de derechos digitales y telecomunicaciones utilizan la seguridad a través de la oscuridad, pero finalmente se han roto. Estos incluyen componentes de GSM , cifrado GMR , cifrado GPRS , una serie de esquemas de cifrado RFID y, más recientemente, Radio troncal terrestre (TETRA). [11]

Uno de los mayores defensores de la seguridad a través de la oscuridad que se ve comúnmente en la actualidad es el software antimalware. Sin embargo, lo que normalmente ocurre con este único punto de falla es una carrera armamentista en la que los atacantes encuentran nuevas formas de evitar la detección y los defensores crean firmas cada vez más artificiales pero secretas para señalar. [12]

La técnica contrasta con la seguridad por diseño y la seguridad abierta , aunque muchos proyectos del mundo real incluyen elementos de todas las estrategias.

Oscuridad en arquitectura versus técnica

El conocimiento de cómo está construido el sistema difiere del ocultamiento y el camuflaje . La eficacia de la oscuridad en la seguridad de las operaciones depende de si la oscuridad se suma a otras buenas prácticas de seguridad o si se utiliza sola. [13] Cuando se utiliza como capa independiente, la oscuridad se considera una herramienta de seguridad válida. [14]

En los últimos años, versiones más avanzadas de "seguridad a través de la oscuridad" han ganado apoyo como metodología en ciberseguridad a través de Moving Target Defense y el ciberengaño . [15] El marco de resiliencia cibernética del NIST, 800-160 Volumen 2, recomienda el uso de la seguridad a través de la oscuridad como parte complementaria de un entorno informático resistente y seguro. [dieciséis]

Ver también

Referencias

  1. ^ Zwicky, Elizabeth D.; Cooper, Simón; Chapman, D. Brent (26 de junio de 2000). Creación de firewalls de Internet: seguridad web y de Internet. "O'Reilly Media, Inc.". ISBN 978-0-596-55188-9.
  2. ^ Selinger, Evan y Hartzog, Woodrow, Obscurity and Privacy (21 de mayo de 2014). Routledge Companion to Philosophy of Technology (Joseph Pitt & Ashley Shew, eds., 2014 de próxima publicación), disponible en SSRN: https://ssrn.com/abstract=2439866
  3. ^ Stross, Randall (17 de diciembre de 2006). «Teatro del Absurdo en la TSA» The New York Times . Archivado desde el original el 8 de diciembre de 2022 . Consultado el 5 de mayo de 2015 .
  4. ^ Anderson, Ross (2001). Ingeniería de seguridad: una guía para construir sistemas distribuidos confiables . Nueva York, Nueva York: John Wiley & Sons, Inc. p. 240.ISBN 0-471-38922-6.
  5. ^ Swire, Peter P. (2004). "Un modelo para saber cuándo la divulgación ayuda a la seguridad: ¿Qué tiene de diferente la seguridad de las redes y las computadoras?". Revista de Derecho de las Telecomunicaciones y Altas Tecnologías . 2 . SSRN  531782.
  6. ^ Swire, Peter P. (enero de 2006). "Una teoría de la divulgación por motivos de seguridad y competencia: código abierto, software propietario y agencias gubernamentales". Revisión de la ley de Houston . 42 . SSRN  842228.
  7. ^ "seguridad a través de la oscuridad". El archivo de jerga . Archivado desde el original el 29 de marzo de 2010 . Consultado el 29 de enero de 2010 .
  8. ^ "A pesar de los temores sobre la seguridad electoral, los caucus de Iowa utilizarán una nueva aplicación para teléfonos inteligentes". NPR.org . Archivado desde el original el 23 de diciembre de 2022 . Consultado el 6 de febrero de 2020 .
  9. ^ "Guía de seguridad general del servidor" (PDF; 258 kB) . Instituto Nacional de Estándares y Tecnología. 2008-07-01. Archivado (PDF) desde el original el 9 de agosto de 2017 . Consultado el 2 de octubre de 2011 .
  10. ^ "CWE-656: Confianza en la seguridad a través de la oscuridad". La Corporación MITRE. 2008-01-18. Archivado desde el original el 28 de septiembre de 2023 . Consultado el 28 de septiembre de 2023 .
  11. ^ Azul medianoche (agosto de 2023). TODOS LOS POLICÍAS ESTÁN TRANSMITIENDO: Rompiendo TETRA después de décadas en las sombras (presentación de diapositivas) (PDF) . Blackhat USA 2023. Archivado (PDF) desde el original el 11 de agosto de 2023 . Consultado el 11 de agosto de 2023 .
    Carlos Meijer; Wouter Bokslag; Jos Wetzels (agosto de 2023). Todos los policías están transmitiendo: TETRA bajo escrutinio (papel) (PDF) . Usenix Security 2023. Archivado (PDF) desde el original el 11 de agosto de 2023 . Consultado el 11 de agosto de 2023 .
  12. ^ KPMG (mayo de 2022). "El juego del gato y el ratón de evasión antivirus". Archivado desde el original el 28 de agosto de 2023 . Consultado el 28 de agosto de 2023 .
  13. ^ "La oscuridad es una capa de seguridad válida - Daniel Miessler". Daniel Miessler . Archivado desde el original el 8 de diciembre de 2022 . Consultado el 20 de junio de 2018 .
  14. ^ "Ciberengaño | CSIAC". www.csiac.org . Archivado desde el original el 2021-04-20 . Consultado el 20 de junio de 2018 .
  15. ^ "CSD-MTD". Departamento de Seguridad Nacional . 2013-06-25. Archivado desde el original el 8 de diciembre de 2022 . Consultado el 20 de junio de 2018 .
  16. ^ Ross, Ron; Graubart, Richard; Bodeau, Débora; McQuaid, Rosalie (21 de marzo de 2018). Ingeniería de seguridad de sistemas: consideraciones de resiliencia cibernética para la ingeniería de sistemas seguros confiables (Reporte). Instituto Nacional de Estándares y Tecnología. Archivado desde el original el 6 de diciembre de 2023 . Consultado el 5 de abril de 2024 .

enlaces externos