Español | English
rss facebook linkedin Twitter

Seguridad: lecciones de historia

1. El programa es el usuario.
Ritchie, Thompson, 1971.

Se trata del modelo de permisos que expusieron en su día Kernighan y Ritchie trabajando en el S.O Unix, pero que ya no tiene cabida en la era de Internet donde todo está conectado. Esta idea data de 1971, donde era inconcebible que código malicioso apareciera en una máquina si no era conectándole físicamente una tarjeta.
El entorno operativo necesita mejor protección desde la aplicación y debe ejecutar su propia máquina virtual en lugar de heredar permisos totales del usuario.

Un usuario al que actualmente le asaltan diálogos y mensajes en el entorno de escritorio sobre aspectos que desconoce completamente o le dan igual y que de ellos depende en gran medida la seguridad de los escritorios actuales. Iconos de candados, https, URLs de color, feos avisos de certificados...
El usuario si quiere realizar su trabajo (el que sea) siempre hara click en "Permitir" o "Aceptar" independienetemente de lo que le esté advirtiendo ese poco amigable mensaje de aviso.

Si los usuarios no lo entienden, no existe.

2. Listas negras: ¿Cuántos años llevamos usándolas?

¿Virus?: A la lista negra.
¿Spyware?: A la lista negra
¿Malware?: A la lista negra.

Y luego nos sorprendemos cuando las cosas fallan.

Como en la historia. Conocer el pasado a menudo nos ayudará a entender el presente y avanzar aprendiendo de los errores ya cometidos.

Las anteriores ideas están extraidas de la presentación realizada por Ivan Krstic, director de la arquitectura de seguridad del OLPC, donde se diseño una nueva plataforma de ejecución de código -Bitfrost- para evitar todas las amenazas de seguridad que acosan nuestros escritorios, pero aprendiendo del pasado y adaptándolo al presente. Algo similar a conceptos como SElinux, GRsecurity, AppArmour o recientemente Caja.
Bitfrost tenía muy buenas perspectivas, pero lamentablemente parece que todavía no está completo y a juzgar por el último giro del OLPC y la salida de Ivan del proyecto, no se sabe cual será su progreso a partir de ahora.

Emilio Casbas
S21sec labs

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login