La seguridad importa
Domingo, 04-05-2008 por Death Master
La semana pasada, unos días antes de irme a Toulouse, estuve echando un vistazo al número de abril de la revista científica Communications of the ACM, una publicación periódica de la ACM. Lo interesante es que en portada de dicho número (volume 51, number 4) encontramos, curiosamente, la seguridad como tema principal, con un artículo de Ryan West (investigador de Dell) titulado “The psychology of scurity“, que viene acompañado del más curioso aún subtítulo “Why do users make bad decisions?“.
El artículo analiza justamente lo que su subtítulo deja adivinar: ciertos aspectos que hacen a los usuarios correr riesgos de seguridad, en la mayoría de los casos innecesarios. Desde aspectos psicológicos, como la falsa sensación de seguridad, hasta aspectos de diseño, como el formato de las ventanas emergentes de alerta, y pasando por problemas técnicos, como la abstracción del término “seguridad”; el autor realiza un brillante análisis de la situación actual de la seguridad a nivel de usuario, planteando ciertos escenarios como ejemplo.
Pero no es el único artículo relacionado con la seguridad en este número, pues también encontramos un artículo de Hal Berghel titulado “Faith-Based Security“, más brillante aún si cabe que el anterior, a pesar de no ser el artículo central de la revista. En este texto, el autor realiza una ácida crítica de los sistemas que denomina de “seguridad basada en la fé”, particularmente de la filosofía de security through obscurity. Analizando ejemplos como el cifrado WEP, el desbordamiento de buffer de la extensión ISAPI de Windows [1], o la famosa y reciente vulnerabilidad del cifrado MIFARE en chips RFID (de la cual hablé aquí); Berghel rompe una lanza en favor del full disclosure, aportando argumentos sobre su idoneidad en el desarrollo de la seguridad informática.
Hay un par de artículos más que me interesan, y que aún no he tenido tiempo de leer, titulados “Disk is the new RAM” y “The business of Open Source” respectivamente. A ver cuándo les puedo echar un ojo.
En cualquier caso, siempre es una agradable sorpresa ver que en publicaciones serias -más aún si tienen tanta tradición como la que comento- la seguridad informática tiene cabida, y más aún si el tema es tratado de una forma tan coherente, alejándose de intereses comerciales y la larga sombra de determinadas compañías…
