(In)Seguridad por oscuridad
Hoy en Kriptópolis y en Hispasec leo la historia de “Guillermito”.
Gillermito es un biólogo francés que se dedicaba a sacar fallos de seguridad a productos.Recientemente le han condenado a pagar 14.300€ de indemnización a una empresa de antivirus. ¿Su delito? Probar que era falsa la afirmación de la empresa de que sus antivirus eran 100% seguros contra virus. Ningún antivirus lo es, pero a la empresa no le interesa que se sepa. Solucion: Denunciar, y de paso asustar a todos que quieran hacer algo similar.
Este es un intento más de seguridad a través de oscuridad, o lo que es lo mismo, ocultar los fallos de un sistema en vez de corregirlos. En muchos casos se dice que publicar los fallos pone en peligro a los usuarios, o que el acceso libre al código fuente permite encontrar fallos mucho más facilmente. Este argumento cae cuando vemos que en el software libre las correcciones están disponibles más rápidamente que en el software privativo ya que, al tener acceso al código, cualquiera puede reparar el fallo y mandar la corrección al autor. En cambio, en el software privativo, tanto con la seguridad como con otros problemas, aparte de que hay que esperar, puedes tener mala suerte de que el fabricante oculte los fallos.
En criptografía podemos mencionar los casos del GSM o del CSS. En el caso del primero, protegía las comunicaciones d telefonos móviles y el segundo era el método anticopia de los DVD. Ambos se han descifrado. Mientras, otros, como AES, que están abiertos al público siguen invulnerables.
RSS .92
