No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Curso de Introducción al Pentesting

Curso de Introducción al Pentesting

Francisco Daniel Carvajal

Francisco Daniel Carvajal

Seguridad por oscuridad

7/22
Recursos

Seguridad por oscuridad es un término que viene a identificar aquellas medidas que se configuran para proteger un activo, confiando en que nadie va a buscar ahí.

En palabras de Auguste Kerckhoffs: “el diseño de un sistema no debería requerir el secreto, y el compromiso del sistema no debería incomodar a los corresponsales”.

SeguridadOscura.png

Principios de la seguridad por oscuridad

Se basa en los principios de Kerckhoffs que describe la seguridad en un sistema criptográfico.

  • Si el sistema no es teóricamente irrompible, al menos debe serlo en la práctica.

  • La efectividad del sistema no debe depender de que su diseño permanezca en secreto.

  • La clave debe ser fácilmente memorizable de manera que no haya que recurrir a notas escritas.

  • Los criptogramas deberán dar resultados alfanuméricos.

  • El sistema debe ser operable por una única persona.

  • El sistema debe ser fácil de utilizar.

Cuadro de diferencias sobre cómo clasificar vulnerabilidades

CVE(Common Vulnerability Exposure) CWE (Common Weakness Enumeration) CAPEC CVS (Common Vulnerability Scoring)
Listas de vulnerabilidades con un único identificador Registra vulnerabilidades de software o hardware, se clasifican por medio de códigos Son patrones de ataque que no dependen de una vulnerabilidad Define qué tan crítica es una vulnerabilidad

Contribución creada con los aportes de: Angie Espinoza

Aportes 9

Preguntas 0

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

o inicia sesión.

Los 6 principios de Kerckhoff, ideales para un sistema criptográfico, son los siguientes:

  1. El sistema debería ser sustancialmente - si no matemáticamente - indescifrable;
  2. El sistema no debería requerir del secreto y aunque fuese robado por el adversario, esto no habría de causar problema;
  3. La llave del sistema debería ser fácil de comunicar y guardar sin la ayuda de algo escrito, siendo también fácil cambiar o modificar la llave a discreción de los corresponsales;
  4. El sistema debería ser compatible con la comunicación telegráfica (hoy informática);
  5. El sistema debería ser portátil, y su uso u operación no debería requerir más de una persona;
  6. Finalmente, dadas las circunstancias en las cuáles aplique el sistema, debería ser fácil de usar, sin causar estrés o requerir del conocimiento de una larga serie de reglas.

Esta es la fuente dónde lo encontré (está en inglés) y también está el artículo original de Kerckhoff y otras cosas geniales, para quién guste.

Gracias por el detalle sensei. Qué molón es remontar hasta las bases de lo que hoy engloba la criptografía, ciberseguridad e incluso blockchain y las criptomonedas, en todo lo cuál el pentesting es una habilidad transversal.

El diseño de un sistema no
debería requerir el secreto, y el
compromiso del sistema no
debería incomodar a los
corresponsales.

Auguste Kerckhoffs

CVE - Common Vulnerabilities and Exposures (Vulnerabilidades y explotaciones Comunes)

CWE - Common Weakness Enumeration (Enumeración de vulnerabilidades comunes)

CAPEC - Common Attacs Patrons Enumeration Clasification (Enumeración y clasificación de patrones de ataque comunes)


CVSS - Common Vulnerability Scoring System (Sistema de puntuación de vulnerabilidades comunes)


Seguridad por oscuridad (Cómo ocultar la llave de la puerta bajo el tapete, confiando en que nadie buscará ahí).


Podemos plasmar las ideas del principio como:
Mantener el secreto del código fuente del software.
Mantener el secreto de algoritmos y protocolos utilizados.
Adopción de políticas de no revelación pública de la información sobre vulnerabilidades.

  • Seguridad por oscuridad es un término que viene a identificar aquellas medidas que se configuran para proteger un activo, confiando en que nadie va a buscar ahí.

En palabras de Auguste Kerckhoffs: “el diseño de un sistema no debería requerir el secreto, y el compromiso del sistema no debería incomodar a los corresponsales”.

**Seguridad por oscuridad **

(Cómo ocultar la llave de la puerta bajo el tapete, confiando en que nadie buscará ahí).

No se si se dieron cuenta pero el apellido de Daniel estaba con un error

La seguridad por oscuridad consiste en suponer que, mientras los detalles internos de un sistema o equipo no se conozcan, este estará seguro.

👍