Seguridad por oscuridad

Clase 7 de 22 • Curso de Introducción al Pentesting

Resumen

Seguridad por oscuridad es un término que viene a identificar aquellas medidas que se configuran para proteger un activo, confiando en que nadie va a buscar ahí.

En palabras de Auguste Kerckhoffs: ""el diseño de un sistema no debería requerir el secreto, y el compromiso del sistema no debería incomodar a los corresponsales"".

Principios de la seguridad por oscuridad

Se basa en los principios de Kerckhoffs que describe la seguridad en un sistema criptográfico.

Si el sistema no es teóricamente irrompible, al menos debe serlo en la práctica.
La efectividad del sistema no debe depender de que su diseño permanezca en secreto.
La clave debe ser fácilmente memorizable de manera que no haya que recurrir a notas escritas.
Los criptogramas deberán dar resultados alfanuméricos.
El sistema debe ser operable por una única persona.
El sistema debe ser fácil de utilizar.

Cuadro de diferencias sobre cómo clasificar vulnerabilidades

CVE(Common Vulnerability Exposure)	CWE (Common Weakness Enumeration)	CAPEC	CVS (Common Vulnerability Scoring)
Listas de vulnerabilidades con un único identificador	Registra vulnerabilidades de software o hardware, se clasifican por medio de códigos	Son patrones de ataque que no dependen de una vulnerabilidad	Define qué tan crítica es una vulnerabilidad

Contribución creada con los aportes de: Angie Espinoza

Ángel Adolfo Ramírez Tobar

student•

CVE - Common Vulnerabilities and Exposures (Vulnerabilidades y explotaciones Comunes)

CWE - Common Weakness Enumeration (Enumeración de vulnerabilidades comunes)

CAPEC - Common Attacs Patrons Enumeration Clasification (Enumeración y clasificación de patrones de ataque comunes)

CVSS - Common Vulnerability Scoring System (Sistema de puntuación de vulnerabilidades comunes)

Seguridad por oscuridad (Cómo ocultar la llave de la puerta bajo el tapete, confiando en que nadie buscará ahí).

Patricio Sánchez Fernández

student•

Buen resumen.

Amgonzalez@altec.com.ar

student•

El diseño de un sistema no debería requerir el secreto, y el compromiso del sistema no debería incomodar a los corresponsales.

Auguste Kerckhoffs

Alejandro sierra

student•

Seguridad por oscuridad es un término que viene a identificar aquellas medidas que se configuran para proteger un activo, confiando en que nadie va a buscar ahí.

En palabras de Auguste Kerckhoffs: “el diseño de un sistema no debería requerir el secreto, y el compromiso del sistema no debería incomodar a los corresponsales”.

Patricio Sánchez Fernández

student•

Parece ser que todo gran aparataje de seguridad, tiene a lo menos una pequeña vulnerabilidad, amparada en el descuido humano.

Juan José Mamani Tarqui

student•

***<u>Seguridad por oscuridad </u>***en criptografía: una estrategia controvertida

En el ámbito de la criptografía, la seguridad por oscuridad, también conocida como seguridad por ocultación, se refiere a la práctica de mantener en secreto los detalles de un sistema o algoritmo criptográfico con la esperanza de que esto lo haga más seguro. La idea subyacente es que si los atacantes no saben cómo funciona el sistema, no podrán encontrar vulnerabilidades para explotarlo.

Ejemplos de seguridad por oscuridad:

Mantener el código fuente de un programa de cifrado en secreto.
No revelar el algoritmo utilizado en un protocolo de autenticación.
Ocultar la ubicación de un servidor web.

Argumentos a favor de la seguridad por oscuridad:

Puede dificultar que los atacantes encuentren vulnerabilidades.
Puede proteger la propiedad intelectual.
Puede dar a los defensores una ventaja sobre los atacantes.

Argumentos en contra de la seguridad por oscuridad:

Es difícil de mantener en secreto a largo plazo.
No es una base sólida para la seguridad a largo plazo.
Puede dificultar la auditoría y la mejora de un sistema.
Puede crear una falsa sensación de seguridad.

En general, la seguridad por oscuridad se considera una práctica poco fiable y se desaconseja su uso. Se basa en el secreto, que es difícil de mantener, y no aborda las vulnerabilidades fundamentales de un sistema. En su lugar, se recomienda utilizar enfoques de seguridad basados en pruebas, como la revisión de código y las pruebas de penetración, para identificar y corregir vulnerabilidades antes de que puedan ser explotadas por los atacantes.

Principios de Kerckhoffs:

Los principios de Kerckhoffs, propuestos por Auguste Kerckhoffs en 1883, son un conjunto de directrices para el diseño de sistemas criptográficos seguros. Estos principios establecen que:

Un sistema debe ser seguro incluso si su diseño es de conocimiento público.
La seguridad del sistema debe depender únicamente de la secrecía de la clave, no del secreto del algoritmo o de su implementación.
Un sistema debe ser fácil de usar y comprender.

Los principios de Kerckhoffs están en consonancia con la idea de que la seguridad por oscuridad no es una base sólida para la seguridad a largo plazo. Un sistema criptográfico que se basa en el secreto para su seguridad es fundamentalmente vulnerable, ya que el secreto siempre puede ser revelado o descubierto.

En resumen:

La seguridad por oscuridad es una práctica controvertida en criptografía.
Se basa en el secreto, que es difícil de mantener, y no aborda las vulnerabilidades fundamentales de un sistema.
Se recomienda utilizar enfoques de seguridad basados en pruebas para identificar y corregir vulnerabilidades.
Los principios de Kerckhoffs proporcionan una guía para el diseño de sistemas criptográficos seguros

Roberto Gallegos

student•

No se si se dieron cuenta pero el apellido de Daniel estaba con un error

Selim Abdala Nazar Zelaya

student•

La seguridad por oscuridad consiste en suponer que, mientras los detalles internos de un sistema o equipo no se conozcan, este estará seguro.

william soliz castillo

student•

los conceptos de CVE, CWE, CAPEC y CVSS aun me confundian.

Asi que es un Resumen simplificado que me dio chatgpt y me quedo claro.

CVE - Identificación única de vulnerabilidades. (El "qué")
CWE - Identificación de debilidades en el código o configuración. (La "causa")
CAPEC - Técnicas de ataque para explotar vulnerabilidades. (El "cómo")
CVSS - Sistema de puntaje para evaluar la gravedad del riesgo. (El "cuánto duele")

🔥 Analogía sencilla: Casa con puertas y llaves 🔑🏠

CVE: Es como el reporte de un robo específico: "El 5 de marzo, un ladrón entró a la casa de la calle 123 usando una llave falsa." 🔹 Es un caso puntual, con fecha y detalles únicos.
CWE: Son las fallas en la construcción o los errores cometidos: "Las puertas de esta casa tienen cerraduras muy simples que se pueden forzar fácilmente." 🔹 Es una descripción técnica del error o la debilidad.
CAPEC: Es el método o la técnica de ataque del ladrón: "Usar una ganzúa para abrir cerraduras sencillas." 🔹 Describe el método de ataque y cómo se aprovecha la debilidad.
CVSS: Es la gravedad del problema, cuánto daño puede causar: "La probabilidad de que entren a la casa es alta y el impacto económico es severo." 🔹 Una métrica numérica para evaluar la criticidad (del 0 al 10).

🔹 Ejemplo práctico aplicado a seguridad informática:

CVE-2021-34527: Ejecución remota de código en Print Spooler de Windows.
- 🔥 CWE-269: Error en el manejo de permisos y privilegios.
- 💡 CAPEC-122: Abuso de API del sistema para ejecutar código arbitrario.
- ⚙️ CVSS: 8.8 (crítico) — Alta probabilidad de explotación y gran impacto.

Ángel Adolfo Ramírez Tobar

student•

**Seguridad por oscuridad **

(Cómo ocultar la llave de la puerta bajo el tapete, confiando en que nadie buscará ahí).

Marvin Javier Santos Fernández

student•

Muy interesante la información.

José María Caamaño González

student•

"El diseño de un sistema no debería requerir el secreto, y el compromiso del sistema no debería incomodar a los corresponsales".

Auguste Kerckhoffs

Este señor, será todo un erudito; pero su frase, suena a excusa barata, para ofrecer solo lo básico:

"Tu dispositivo y tus datos, están en peligro, pero no te preocupes amigo. Hakuna matata. Be happy my friend. Carpe Diem".

MARIA TERESA PANIAGUA RIVERA

student•

Gracias

Luis Alberto Anaya lentino

student•

MARIANGEL UZCATEGUI GARCIA

student•

Esta tabla esta en los recursos pero me gusto mucho así que la dejo por acá y se ve un poco mas. ![](

Eloy Canelon

student•

Podemos plasmar las ideas del principio como: Mantener el secreto del código fuente del software. Mantener el secreto de algoritmos y protocolos utilizados. Adopción de políticas de no revelación pública de la información sobre vulnerabilidades.

ISAMAR EDITH PARADA DÍAZ

student•

👍

Seguridad por oscuridad

Introducción al Pentesting

Bienvenida y presentación del curso

Habilidades necesarias

CVE, Microsoft Vuln Database

Enumeración de vulnerabilidades comunes

Enumeración y clasificación de patrones de ataque comunes

Sistema de puntuación de vulnerabilidades comunes

Seguridad por oscuridad

Ciclo de vida del Pentesting

Obtención de Inteligencia

Análisis de Vulnerabilidades

Técnicas de ataque y explotación de vulnerabilidades

Post-explotación

Desarrollo de informes

Introducción a los exploits

Vulnerabilidades de tipo 0-day

¿Qué son los exploits y los payloads?

Bases de datos de exploits

Tipos de exploits

Técnicas de ataque misceláneos

Ataques de fuerza bruta

Ataques de denegación de servicio

Spoofing

Fuzzing

Técnicas de ataques físicos

Configuración de Kali Linux en VMware Workstation Pro