lunes, 8 de noviembre de 2004

Hacking Faxes

Es curioso ver cómo esto de la seguridad de la información se está descontrolando. Se hablaba hace unos cuantos años de la tendencia exponencial del número de incidentes y como siempre, las espectativas parece que se están cumpliendo.

Hoy he podido ver en Antena 3 a la hora del telediario del mediodía hablar de "Seguridad de la información" y del incremento de incidentes relacionados con las fugas de información, el contraespionaje industrial o simplemente la competencia desleal entre empresas contratando a empleados de la competencia.
En su momento parecía que el discurso de las empresas de seguridad parecía paranoico y ahora nos damos cuenta de que aquellos vaticinios eran solo una parte de la realidad que se nos viene encima. Estamos mal acostumbrados a confiar sin pruebas ni evidencias. A aquellos que en su momento gritaban "que viene el lobo" se les ignoraba y ninguneaba de forma a veces humillante. Hoy esas predicciones irracionales son una realidad.

Hoy Bruce Schneier publica en su blog una historia curiosa en torno a la liberación de un prisionero debido a un fax falseado.

"Faxes are fascinating. They're treated like original documents, but lack any of the authentication mechanisms that we've developed for original documents: letterheads, watermarks, signatures. Most of the time there's no problem, but sometimes you can exploit people's innate trust in faxes to good effect. "

Lo de los fax es fascinante, han sido tratados como documentos originales aun cuando no llevan implantado ningún mecanismo de autenticación. La mayoría de las feces no ocurre ningún problema pero cuando la gente decide explotar la confianza puesta en este tipo de documentos sin ninguna razón para ello, lo hace con éxito.

Leanlo en Schneier on Security: Hacking Faxes

Los discursos tradicionales hablan de tres propiedades de la seguridad: confidencialidad, integridad y disponibilidad.

Deben revisarse estos conceptos puesto que la autenticación es también un requisito imprescindible para evitar amenazas como el repudio o la suplantación de identidad.

Hemos basado el uso de la tecnología en unas premisas de confianza que no tienen porque producirse y cuando alguien se da cuenta de estos hechos y los trata de utilizar en su beneficio o con ánimo de lucro, entonces vienen las madres mías.
 
;