13 de Septiembre, 2005

Las seis ideas más tontas en seguridad informática

Muy interesante (y divertido) el ensayo de Marcus J. Ranum: The Six Dumbest Ideas in Computer Security.

Estas ideas tontas vienen de intentar conseguir lo imposible, de negar la realidad, dice Marcus. Traducción libre:

  1. Por defecto permitir: suele ser lo más fácil, sobretodo hablando de cortafuegos. Se permite hacer todo menos lo que no queremos que se haga. ¿Y cuando no sabes qué puede hacerte daño para no permitirlo?
  2. Enumerar los peligros: viene en relación con lo anterior. Tengo que saber lo que puede causar daño y protegerme de ello. ¿Se puede saber todo lo que puede ser peligroso?
  3. Penetrar y parchear: busco fallos y los arreglo. ¿Y los fallos que no encuentro? Entonces es que no existen :D.
  4. Explotar agujeros mola: alentar la búsqueda de formas aprovechar agujeros de seguridad puede ayudarnos a protegernos ($$$ a quién rompa mi sistema), pero solo nos hace dependientes de la idea penetrar y parchear y promueve los script kiddies. ¿Los agujeros no se corrigen? Sí, entonces esta idea depende del tiempo que tardan en taparse.
  5. Educar a los usuarios: la educación es siempre buena, pero hay cosas que no tienen arreglo. La curiosidad mató al gato, y la promesa de fotografías de ciertas féminas desnudas puede acabar con cualquier cosa aprendida por el usuario en cuestión de segundos ;).
  6. Hacer algo es mejor que nada: ¡algo habrá que hacer! Error: es más fácil no hacer algo tonto que hacer algo inteligente. La clave es pararse a pensar y saber desechar con fundamento. Marcus lo define como la definitiva expresión del kung-fu profesional: reconocimiento por no hacer algo.

Se puede leer completo, e igual mi adaptación/descripción de las seis ideas acaba siendo lamentable :D.

También habla de otras ideas tontas accesorias, algunas de las cuales seguro que las hemos oído más de una vez (nosotros no somos un objetivo, ¿quién va a querer atacarme a mi?).

Vía brainstorms.

Anotación por Juan J. Martínez.

Los comentarios están cerrados: los comentarios se cierran automáticamente una vez pasados 30 días. Si quieres comentar algo acerca de la anotación, puedes hacerlo por e-mail.