Seguridad por oscuridad
Clase 7 de 22 • Curso de Introducción al Pentesting
Resumen
Seguridad por oscuridad es un término que viene a identificar aquellas medidas que se configuran para proteger un activo, confiando en que nadie va a buscar ahí.
En palabras de Auguste Kerckhoffs: “el diseño de un sistema no debería requerir el secreto, y el compromiso del sistema no debería incomodar a los corresponsales”.
Principios de la seguridad por oscuridad
Se basa en los principios de Kerckhoffs que describe la seguridad en un sistema criptográfico.
Si el sistema no es teóricamente irrompible, al menos debe serlo en la práctica.
La efectividad del sistema no debe depender de que su diseño permanezca en secreto.
La clave debe ser fácilmente memorizable de manera que no haya que recurrir a notas escritas.
Los criptogramas deberán dar resultados alfanuméricos.
El sistema debe ser operable por una única persona.
El sistema debe ser fácil de utilizar.
Cuadro de diferencias sobre cómo clasificar vulnerabilidades
| CVE(Common Vulnerability Exposure) | CWE (Common Weakness Enumeration) | CAPEC | CVS (Common Vulnerability Scoring) |
|---|---|---|---|
| Listas de vulnerabilidades con un único identificador | Registra vulnerabilidades de software o hardware, se clasifican por medio de códigos | Son patrones de ataque que no dependen de una vulnerabilidad | Define qué tan crítica es una vulnerabilidad |
Contribución creada con los aportes de: Angie Espinoza