lunes, 22 de noviembre de 2004

Linux Phishing Attack Circulates on Net

La autenticación está en crisis.
La noticia de la que hoy me hago eco es del phishing entorno a un aviso de seguridad de Linux Red Hat que circula por la red Linux Phishing Attack Circulates on Net.
En este caso, el atacante intenta engañar a los usuarios linux para que descarguen un parche de seguridad que lleva embebido un troyano. La noticia es solo una mas de las que se vienen sucediendo y que ponen de manifiesto un problema muy grave que sigue a dia de hoy obviandose.

La seguridad de la información hasta ahora ha seguido los conceptos tradicionales heredados de la filosofía americana basada en el Orange Book en donde se habla de los 3 pilares de la seguridad que segun este documento son la confidencialidad, la integridad y la disponibilidad.

Hasta la fecha, la autenticación definida como "la característica de dar y reconocer la autenticidad de los activos y/o la identidad de los actores y/o la autorización por parte de los autorizadores, así como la verificación de dichas tres cuestiones" ha quedado relegada a un segundo plano, pero actualmente el objetivo de los ataques se está enfocando hacia propiedad descuidada por parte de las medidas de seguridad en Internet.

Las tecnologías para implementar medidas que verifiquen esta propiedad existen desde hace tiempo, basándose principalmente en la firma digital o en la autenticación fuerte que utiliza dispositivos que generan contraseñas de un solo uso.
Estas soluciones son caras y hasta ahora no han sido utilizadas dado que se pensaba que estas amenazas no deberían considerarse.

Dado que siempre parece actuarse de forma reactiva, las soluciones siempre se adoptan cuando el problema o el incidente se manifiesta, en vez de diseñar e implantar los servicios Web almenos con unas medidas de seguridaad robustas para en entorno operativo en donde se situan.

Como pasaba con la Ingeniería del Software, hasta que no se dieron cuenta que usarlas era más rentable que soportar los costos de mantenimiento y soporte de los productos no documentados, en la Seguridad estamos ahora mismo en el mismo punto. Hasta que no seamos conscientes de que la seguridad debe incluirse en el diseño, nos encontraremos con problemas cuya solución pasa por el rediseño, que tiene un costo siempre mayor que hacer las cosas bien desde el principio.

En fin, paciencia y esperemos que esta cultura de la inseguridad en el mundo electrónico cambie.

 
;