Seis ideas tontas sobre la seguridad informática (2005)

 (ranum.com)
5 puntos por GN⁺ 2024-07-16 | 1 comentarios | Compartir por WhatsApp
  • Las seis ideas más tontas en la seguridad informática
    • La seguridad informática sigue siendo un "tema candente"
    • ¿Por qué seguimos teniendo problemas incluso después de invertir mucho tiempo y dinero?

Permitir por defecto

  • "Permitir por defecto" aparece de varias formas
  • Es lo más común de ver en las reglas de firewall
  • Cuando se descubre una nueva vulnerabilidad, el administrador debe decidir si la bloquea
  • "Permitir por defecto" provoca una competencia interminable con los hackers
  • El concepto opuesto, "denegar por defecto", es una buena idea

Enumerar las cosas malas

  • En los inicios de la seguridad informática, solo había unos pocos agujeros de seguridad bien conocidos
  • "Enumerar las cosas malas" consiste en listar y bloquear todos los elementos maliciosos
  • Los elementos maliciosos en Internet pasaron a ser más que los elementos legítimos
  • "Enumerar las cosas malas" es ineficiente, y "enumerar las cosas buenas" es un mejor enfoque

Irrumpir y parchear

  • "Irrumpir y parchear" es una forma de encontrar errores y corregirlos
  • Este método no resuelve los problemas fundamentales del código
  • Detectar vulnerabilidades de seguridad y aplicar parches no es una solución de fondo
  • Los sistemas de seguridad deben diseñarse para ser seguros desde la etapa de diseño

Hackear es genial

  • Considerar que hackear es genial es una idea tonta
  • El hacking es un problema social, no técnico
  • Convertir a los hackers en héroes fomenta el hacking
  • También es una idea tonta que los expertos en seguridad aprendan técnicas de hacking

Capacitación de usuarios

  • La capacitación de usuarios es la versión humana de "irrumpir y parchear"
  • Capacitar a los usuarios no es una solución de fondo
  • En vez de resolver el problema, es mejor eliminarlo

Actuar es mejor que no actuar

  • La idea de que "actuar es mejor que no actuar" es una idea tonta
  • Antes de introducir una nueva tecnología, una mejor estrategia es revisarla lo suficiente y esperar
  • Hay que recordar que "es más fácil no hacer algo tonto que hacer algo inteligente"

Resumen de GN⁺

  • Este artículo trata errores tontos que se cometen con frecuencia en la seguridad informática
  • Al diseñar sistemas de seguridad, es importante resolver los problemas de raíz
  • La cultura de considerar genial el hacking puede empeorar el problema del hacking
  • Se necesita un enfoque que resuelva el problema de raíz más que capacitación de usuarios
  • Al introducir nuevas tecnologías, es importante revisarlas bien y actuar con cautela

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-07-16
Opiniones de Hacker News

  • Default Deny no es más difícil que Default Permit, pero le da un mejor sueño al personal de seguridad de TI

    • Sin embargo, para el resto de la empresa es muy frustrante que nada funcione sin varias gestiones adicionales con el departamento de TI
    • Cuanto más se molesta la gente, más probable es que use atajos que debiliten los conceptos de seguridad de TI
    • Una buena seguridad de TI debería ser como magia: invisible para el usuario y sin estorbar

  • A finales de los 90 y comienzos de los 2000, Marcus Ranum y Bruce Schneier sostenían que divulgar vulnerabilidades era perjudicial

    • Sin embargo, ese punto de vista no fue demostrado
    • Hoy en día, la mayoría de las conferencias académicas de seguridad incluyen investigación sobre ataques

  • Sorprende que no haya ninguna mención de las contraseñas

    • Las reglas de composición de contraseñas y la rotación de contraseñas son, en esencia, una tontería
    • Se debería permitir que los usuarios elijan contraseñas que les resulten fáciles de recordar

  • Sostener que no hacen falta pruebas de seguridad es una de las peores posturas sobre seguridad

    • También es una postura equivocada afirmar que el hacking no es un problema técnico sino social

  • Un enfoque orientado a la seguridad causa incomodidad a los usuarios

    • Es importante lograr un equilibrio entre seguridad y comodidad
    • Estudiar vulnerabilidades y exploits es útil para aprender sobre seguridad

  • Hackear es algo genial, pero acceder a los datos y sistemas de otras personas no lo es

    • Entender y manipular a fondo tu propio sistema sí es útil

  • Aprender exploits es útil para estudiar teoría y práctica al mismo tiempo

  • El problema es la desafortunada compensación entre usabilidad y seguridad

    • Un enfoque como Default Permit es perjudicial para la seguridad
    • Las contraseñas son difíciles de recordar e incómodas para los usuarios

  • Confiar en el cliente significa que el modelo de seguridad está roto

  • El enfoque Penetrate and Patch vuelve inútil el trabajo de seguridad

    • Encontrar y corregir vulnerabilidades pasa a ser más importante que diseñar sistemas seguros
    • Es bueno distinguir entre el acceso ilegal y la consultoría de seguridad