CAPÍTULO

¿Qué es la Ingeniería de Seguridad?

Fuera de la madera torcida de la humanidad, sin recta
cosa se ha hecho nunca.

- Immanuel Kant

El mundo nunca va a ser perfecto, ya sea dentro o de ine fi; asi que
no vamos a establecer estándares increíblemente altos de línea.

- Esther Dyson

1.1 Introducción

Ingeniería de seguridad se trata de construir sistemas para seguir siendo fiable en la cara de malicia,
error o mala suerte. Como disciplina, se centra en las herramientas, procesos y métodos necesarios para
diseñar, implementar y probar sistemas completos, y para adaptar los sistemas existentes como
evoluciona su entorno.
Ingeniería de seguridad requiere experiencia interdisciplinaria, que van desde la criptografía y
seguridad informática a través de hardware inviolabilidad y métodos formales a un conocimiento de la
economía, la psicología aplicada, las organizaciones y la ley. habilidades de ingeniería de sistemas,
análisis de procesos de negocio a través de la ingeniería de software para la evaluación y pruebas,
también son importantes; pero no son su fi ciente, ya que sólo se refieren a error y mala suerte que por
malicia.

Muchos sistemas de seguridad tienen requisitos de garantía de críticos. Su fracaso puede poner en peligro la vida humana

y el medio ambiente (como ocurre con los sistemas de control de la seguridad nuclear y), y provocan graves perjuicios a las

principales infraestructuras económicas (en cajeros automáticos y otros sistemas bancarios), ponen en peligro la privacidad

personal (expediente médico

3
4 Capítulo 1 ■ ¿Qué es la Ingeniería de Seguridad?

sistemas), socavan la viabilidad de los sectores empresariales enteros (televisión de pago), y facilitan el crimen
(antirrobo y alarmas de los coches). Incluso la percepción de que un sistema es más vulnerable de lo que realmente
es (el pago con tarjeta de crédito a través de Internet) puede significativamente frenan el desarrollo económico.

La opinión convencional es que mientras que la ingeniería de software Se trata de asegurar que ciertas
cosas sucedan ( 'John puede leer este fi l'), la seguridad se trata de asegurar que no lo hacen ( 'El gobierno
chino no puede leer este fi l'). La realidad es mucho más compleja. Los requisitos de seguridad son muy
diferentes de un sistema a otro. Uno necesita típicamente alguna combinación de autenticación de usuario,
integridad de la transacción y la responsabilidad, tolerancia a fallos, el secreto mensaje, y encubrimiento. Sin
embargo, muchos sistemas fracasan porque sus diseñadores protegen las cosas mal, o protegen las cosas
correctas, pero en el camino equivocado.

Conseguir protección adecuada por lo tanto depende de varios tipos diferentes de proceso. Tienes que cifra a
cabo lo que necesita protección, y cómo hacerlo. También es necesario garantizar que las personas que
protegerán el sistema y mantenerlo están motivados adecuadamente. En la siguiente sección, voy a establecer un
marco para pensar acerca de esto. Luego, con el fin de ilustrar la variedad de cosas diferentes que los sistemas
de seguridad tienen que ver, voy a echar un vistazo rápido a cuatro áreas de aplicación: un banco, una base
aérea, un hospital, y el hogar. Una vez que hemos dado algunos ejemplos concretos de las cosas que los
ingenieros de seguridad tienen que entender y construir, vamos a estar en una posición para intentar algunas de fi
niciones.

1.2 Un marco

Buena ingeniería de seguridad requiere cuatro cosas para venir juntos. Hay política: lo que se supone
alcanzar. Hay mecanismo: los sistemas de cifrado, controles de acceso, hardware inviolabilidad y otra
maquinaria que se monten con el fin de implementar la política. No hay garantía de: la cantidad de
confianza que puede colocar en cada mecanismo en particular. Por último, no hay incentivo: el motivo de
que las personas que guardan y el mantenimiento del sistema tienen que hacer su trabajo
correctamente, y también el motivo de que los atacantes tienen que tratar de derrotar a su política. Todos
estos interactúan (ver Fig. 1.1).

A modo de ejemplo, pensemos en los ataques terroristas del 9/11. El éxito de los secuestradores en conseguir
cuchillos de seguridad del aeropuerto no fue un fracaso mecanismo, sino una política de una sola; en ese momento, se
les permitió cuchillos con hojas de hasta tres pulgadas, y del personal de control hicieron su tarea de mantener armas de
fuego y explosivos fuera por lo que sabemos. Política ha cambiado desde entonces: en primer lugar para prohibir todos
los cuchillos, entonces la mayoría de las armas (bates de béisbol están prohibidas, pero las botellas de whisky están
bien); es flip-opeado en muchos detalles (prohibidos los encendedores de butano y después se dejó de nuevo).
Mecanismo es débil, debido a cosas como cuchillos y explosivos compuestos que no contienen nitrógeno. La seguridad
es siempre pobre; muchas toneladas de pertenencias de los pasajeros inofensivos están consignados a la basura cada
mes, mientras que también
 1.2 Un marco 5

Política incentivos

Mecanismo Garantía

Figura 1.1: Marco de análisis de ingeniería de seguridad

debajo de la mitad de todas las armas tomadas a través de cribado (si accidentalmente o para propósitos de
prueba) son recogidos.
Los analistas señalan graves problemas importantes con las prioridades. Por ejemplo, la TSA ha gastado $ 14,7 mil
millones el control de pasajeros agresiva, que es bastante ineficaz, mientras que $ 100 m gasta en reforzar puertas de
las cabinas eliminaría la mayor parte del riesgo [1024]. El Presidente de la Alianza Pilotos de Líneas Aéreas de
Seguridad observa que la mayoría del personal de tierra no son examinados, y se toma casi ningún cuidado para
proteger las aeronaves estacionadas en el suelo durante la noche. Como la mayoría de los aviones no tienen
cerraduras, no hay mucho para detener un mal tipo rodar escalones para llegar a un avión y la colocación de una
bomba a bordo; si hubiera pilotaje habilidades y un poco de cara dura, podría presentar una plan de vuelo FL y fuera
con él [820]. Sin embargo, la inspección del personal y que guardan los aviones no son sólo una prioridad.

¿Por qué se hacen este tipo de decisiones políticas pobres? En pocas palabras, los incentivos sobre los que toman las
decisiones a favor de los controles visibles más de los efectivos. El resultado es lo que Bruce Schneier llama 'teatro de
seguridad': mide diseñado para producir una sensación de seguridad en lugar de los jugadores reality.Most también tienen
un incentivo para exagerar la amenaza fromterrorism: los políticos para asustar a la votación, periodistas para vender más
periódicos, las empresas a vender más equipo, funcionarios del gobierno para construir sus imperios, y académicos de
seguridad para obtener subvenciones. El resultado de todo esto es que la mayor parte del daño causado por los
terroristas a países democractic proviene de la reacción exagerada. Afortunadamente, los electores fi gura esto con el
tiempo. En Gran Bretaña, donde el IRA nos bombardeó de forma intermitente durante toda una generación, la reacción del
público ante los ataques del 7/7 era sobre todo un encogimiento de hombros.

ingenieros de seguridad tienen que entender todo esto; tenemos que ser capaces de poner los riesgos y
amenazas en el contenido, hacer una evaluación realista de lo que podría gowrong, y dar a nuestros clientes
un buen consejo. Eso depende de una amplia comprensión de lo que ha ido mal en el tiempo con varios
sistemas; qué tipo de ataques han trabajado, ¿cuáles fueron sus consecuencias, y la forma en que fueron
detenidos (si valía la pena hacerlo). Este libro está lleno de historias de casos. Voy a hablar de terrorismo
6 Capítulo 1 ■ ¿Qué es la Ingeniería de Seguridad?

específicamente en la Parte III. Por ahora, con el fin de establecer la escena, voy a dar algunos ejemplos breves
aquí de sistemas de seguridad interesantes y lo que están diseñados para prevenir.

1.3 Ejemplo 1 - A Banco

Los bancos funcionan sorprendentemente una amplia gama de sistemas informáticos críticos para la seguridad.

1. La base de operaciones de un banco es por lo general un sistema de contabilidad rama. Esto

mantiene al cliente cuenta maestra archivos además de un número de revistas que registran
las transacciones del día. La principal amenaza para este sistema es el propio personal del
banco; el uno por ciento de los banqueros son despedido cada año, sobre todo para la
pequeña falta de honradez (el robo promedio es de sólo unos pocos miles de dólares). La
defensa principal proviene de los procedimientos de contabilidad que han evolucionado
durante siglos. Por ejemplo, cada débito en una cuenta debe ser igualada por un crédito igual
y opuesta contra otro; así que el dinero sólo se puede mover dentro de un banco, nunca se
crea ni se destruye. Además, las grandes transferencias de dinero pueden necesitar dos o tres
personas que les autorice. También existen sistemas de alarma que buscan volúmenes
inusuales o patrones de transacciones,

2. Una cara pública del banco es sus cajeros automáticos. La autenticación de transacciones
basadas en la tarjeta del cliente y el número de identi fi cación personal - de tal manera como
para defenderse de tanto fuera como dentro de ataque - es más difícil de lo que parece! Ha
habido muchas epidemias de 'fantasma' retiros en varios países cuando villanos locales (o el
personal del banco) han descubierto y explotado lagunas en el sistema. cajeros automáticos
también son interesantes, ya que fueron el primer uso a gran escala comercial de criptografía, y
ayudaron a establecer una serie de normas de cifrado.

3. Otra cara pública es el sitio web del banco. Muchos clientes hacen ahora más de su negocio de rutina,
tales como el pago de facturas y transferencias entre cuentas corrientes y de ahorro, en línea en lugar
de en una sucursal. sitios web de los bancos han sido atacados recientemente de pesada suplantación
de identidad - de los sitios web falsos en los que se invita a los clientes a introducir sus contraseñas.
Los mecanismos de 'estándar' de Internet de seguridad diseñadas en la década de 1990, tales como
SSL / TLS, resultaron ser ineficaces vez oponentes motivados capaces comenzaron a atacar a los
clientes en lugar de la orilla. El phishing es una ingeniería de seguridad fascinante elementos de
autenticación, la usabilidad, la psicología, las operaciones y la economía problemmixing. Voy a discutir
en detalle en el siguiente capítulo.
 1.4 Ejemplo 2 - una base militar 7

4. Detrás de las escenas son una serie de sistemas de mensajería de alto valor. Estos se utilizan para
mover grandes sumas de dinero (ya sea entre los bancos locales o entre los bancos
internacionalmente); al comercio de valores; de emisión de cartas de crédito y garantías; y así. Un
ataque a un sistema de este tipo es el sueño de los sofisticados criminales de cuello blanco. La
defensa es una mezcla de los procedimientos de contabilidad, controles de acceso, y la criptografía.

5. Las sucursales del banco a menudo parecen ser grande, sólida y próspera, dando a los clientes el mensaje
psicológico que su dinero está seguro. Este es el teatro en lugar de la realidad: la fachada de piedra no da
ninguna protección real. Si usted camina con un arma de fuego, los cajeros le dará todo el dinero se puede
ver; y si se rompe por la noche, se puede cortar en la caja fuerte o cámara acorazada en un par de minutos
con una rueda abrasiva. La efectiva controla estos días en el centro de los sistemas de alarma -que están en
constante comunicación con el centro de control de una empresa de seguridad. La criptografía se utiliza para
evitar que un ladrón o ladrón manipulación de las comunicaciones y hacer que la alarma aparece decir 'todo
está bien' cuando no lo es. Voy a mirar a estas aplicaciones en los capítulos posteriores. la seguridad
informática bancario es importante: hasta hace muy poco, Los bancos fueron los principales mercados de
productos no militares para muchos productos de seguridad informática, por lo que tuvieron una
desproporcionada influencia sobre las normas de seguridad. En segundo lugar, aun cuando su tecnología no
ha sido bendecida por una norma internacional, a menudo se utiliza ampliamente en otros sectores de todos
modos.

1.4 Ejemplo 2 - una base militar

Los sistemas militares también han sido un impulsor importante tecnología. Ellos han motivado gran parte de
la investigación académica que los gobiernos han financiado en seguridad informática en los últimos 20 años.
Al igual que con la banca, no hay ni una sola aplicación, sino muchos.

1. Algunas de las instalaciones más sofisticadas son los sistemas de guerra electrónica cuyos objetivos incluyen tratar
a los radares enemigos mermelada al tiempo que evita que el enemigo se atasque el suyo. Esta zona de la guerra
de información es particularmente instructivo porque durante décadas, los laboratorios de investigación bien
financiados han venido desarrollando contramedidas sofisticadas, countercountermeasures y así sucesivamente
-con una profundidad, la sutileza y la gama de estrategias de engaño que aún no se encuentran en otros lugares.
Al momento de escribir, en 2007, una gran cantidad de trabajo se está haciendo en la adaptación de emisores de
interferencias para desactivar los dispositivos explosivos improvisados ​que hacen la vida peligroso para las tropas
aliadas en Irak. guerra electrónica ha dado muchas ideas valiosas: cuestiones tales como spoo fi ng y ataques de
denegación de servicio fueron a vivir allí mucho antes de que los banqueros y los corredores de apuestas
comenzaron a tener problemas con los malos dirigidas a sus sitios web.
8 Capítulo 1 ■ ¿Qué es la Ingeniería de Seguridad?

2. Los sistemas de comunicaciones militares tienen algunos requisitos interesantes. A menudo no es su fi ciente
mensajes a cifrar solo: el enemigo, al ver trá fi co cifrado con claves de otra persona, puede ser
simplemente localizar el transmisor y atacarla. Baja probabilidad de intercepción ( LPI) enlaces de radio son
una respuesta; que utilizan una serie de trucos que ahora se están adoptando en aplicaciones tales como el
marcado de derechos de autor. comunicaciones encubiertas también son importantes en algunas
aplicaciones de privacidad, como por ejemplo en la derrota de la censura de internet impuesta por los
regímenes represivos.

3. Las organizaciones militares tienen algunos de los mayores sistemas de logística y

inventorymanagement, que difieren de los sistemas comerciales en tener una serie de requisitos de
garantía especiales. Por ejemplo, uno puede tener un sistema de gestión de almacenes por separado en
cada nivel de seguridad diferente: un sistema general de cosas como el combustible para aviones y
betún, además de un segundo sistema secreto de tiendas y equipos cuyo lugar podrían regalar
intenciones tácticas. (Esto es muy parecido al empresario que mantiene conjuntos separados de los
libros para sus socios y para el hombre de los impuestos, y puede causar problemas similares para los
pobres auditor.) También puede haber sistemas de inteligencia y sistemas de mando con los requisitos
de protección aún mayor. La regla general es que la información sensible no puede fluir hacia abajo a
menos restrictivas clasificaciones. Así que usted puede copiar un fi l de una Secreto sistema almacena a
una Ultra secreto sistema de comando, pero no viceversa. La misma regla se aplica a los sistemas de
inteligencia que recogen datos mediante escuchas telefónicas: la información debe fluir hasta el analista
de inteligencia del objetivo de la investigación, pero el objetivo no debe knowwhich de sus
comunicaciones han sido interceptada. La gestión de múltiples sistemas de información fl ujo de las
restricciones es un problema difícil y ha inspirado mucha investigación. Desde el 9/11, por ejemplo, la
unidad para reunir los sistemas de inteligencia ha llevado a la gente a inventar motores de búsqueda
que puede material de índice en múltiples niveles y muestran a los usuarios sólo las respuestas que se
borran saber.

4. Los problemas particulares de protección de las armas nucleares han dado lugar en las últimas dos
generaciones a una gran cantidad de tecnología de seguridad interesantes, que van desde sistemas de
autenticación electrónica que impiden armas que están siendo utilizados sin el consentimiento de la
autoridad de comando nacional, a través de los sellos y sistemas de alarma, a métodos de identificación
de personas con un alto grado de certeza usando biometría tales como los patrones del iris.

El ingeniero civil de seguridad puede aprender mucho fromall esto. Por ejemplo, muchos sistemas
temprana para insertar copyrightmarks en audio y video digital, que utiliza las ideas de la radio de espectro
ensanchado, eran vulnerables a los ataques de desincronización que son también un problema para
algunos sistemas de espectro ensanchado. Otro ejemplo es la gestión frommunitions. Allí, un sistema típico
de cumplir las normas tales como 'No poner explosivos y detonadores en el mismo camión'. Tal
 1.5 Ejemplo 3 - Un Hospital 9

técnicas pueden ser reciclados en normas de higiene de los alimentos de logística -donde prohíben las carnes crudas y
cocidas siendo manejados juntos.

1.5 Ejemplo 3 - Un Hospital

De soldados y higiene de los alimentos de pasar a la asistencia sanitaria. Los hospitales tienen una serie de requisitos
de protección interesantes en su mayoría que ver con la seguridad y la privacidad del paciente.

1. Los sistemas de registro de los pacientes no deberían dejar que todo el personal de ver el historial de cada paciente, o
se puede esperar violaciónes de privacidad. Necesitan saber algunas reglas básicas tales como 'enfermeras pueden
ver los registros de cualquier paciente que ha sido atendido en su departamento en cualquier momento durante los
90 días anteriores'. Esto puede ser difícil de hacer con los mecanismos tradicionales de seguridad informática como
papeles pueden cambiar (enfermeras se mueven de un departamento a otro) y existen dependencias entre sistemas
(si el sistema de registros de paciente termina confiando en el sistema de personal para las decisiones de control de
acceso, a continuación, el personal systemmay han pasado a ser crítico para la seguridad, para mayor privacidad o
para ambos).

2. Los registros de pacientes son a menudo anónimos para su uso en la investigación, pero esto es difícil de hacer
bien. Simplemente el cifrado de nombres de los pacientes no suele ser suficiente como una investigación tales
como 'me muestran todos los registros de los varones de 59 años que fueron tratados por una fractura de
clavícula el 15 de septiembre 1966' se suele ser suficiente para hallar el registro de un político que era conocido
han sufrido una lesión como en la universidad. Pero si los registros no pueden ser anónimos correctamente,
entonces las reglas mucho más estrictas tienen que ser seguidas al manipular los datos, y esto aumenta el
costo de la investigación médica.

3. tecnologías basadas en la Web presentan interesantes nuevos problemas de aseguramiento en la asistencia sanitaria. Por

ejemplo, como libros de referencia - tales como directorios de drogas -Mover en línea, los médicos necesitan tener la

seguridad de que los datos críticos para la vida, tales como las cifras para la dosificación por peso corporal, son

exactamente como se publicó por la autoridad competente, y no han sido mutilado en de alguna manera. Otro ejemplo

es que a medida que los médicos empiezan a acceder a los registros de los pacientes desde casa o desde ordenadores

portátiles o PDAs incluso durante las visitas a domicilio, herramientas de autenticación electrónica y cifrado adecuados

están comenzando a ser necesario.

4. Las nuevas tecnologías pueden introducir riesgos que simplemente no se entienden. Los administradores del hospital a

entender la necesidad de procedimientos de copia de seguridad para hacer frente a los cortes de energía, servicio de

teléfono y así sucesivamente; pero la práctica médica está llegando rápidamente a depender de la red de manera que

a menudo no están documentadas. Por ejemplo, los hospitales en el Reino Unido están empezando a utilizar sistemas

de radiología en línea: los rayos X ya no viajan de la máquina de rayos X para la

10 Capítulo 1 ■ ¿Qué es la Ingeniería de Seguridad?

sala de operaciones en un sobre, sino a través de un servidor en un pueblo lejano. Por lo que un fallo en la red
puede dejar de médicos que operan tanto como un corte de energía. De repente, el Internet se convierte en un
sistema crítico para la seguridad, y los ataques de denegación de servicio podría matar a la gente.

Vamos a ver en la seguridad del sistema médico también con más detalle más adelante. Este es un campo
mucho más joven que la banca de TI o sistemas militares, pero a medida que las cuentas de salud para una mayor
proporción del PNB que cualquiera de ellos en todos los países desarrollados, y los hospitales están adoptando a un
ritmo creciente, que parece que va a ser importante. En los EE.UU., en particular, la legislación de HIPAA -que
establece las normas mínimas para la privacidad - ha hecho que el sector de un cliente importante de la industria de
seguridad de la información.

1.6 Ejemplo 4 - El Home

No podría pensar que la familia típica opera ningún sistemas seguros. Pero tenga en cuenta lo
siguiente.

1. Muchas familias utilizan algunos de los sistemas que ya hemos descrito. Se puede usar un sistema
de banca electrónica basada en la web para pagar las facturas, y en unos pocos años puede que
tenga acceso encriptado en línea a sus registros médicos. Su antirrobo alarmmay enviar un 'todo
está bien' señal encriptada a la empresa de seguridad cada pocos minutos, en lugar de despertar el
vecindario cuando sucede algo.

2. Su automóvil probablemente tiene un inmovilizador electrónico que envía un desafío codificado a un transpondedor
de radio en el dispositivo de llave; el transpondedor tiene que responder correctamente antes de que el coche se
iniciará. Esto hace más difícil el robo y corta sus primas de seguro. Pero también aumenta el número de robos de
coches de hogares, donde la casa es un robo para obtener las llaves del coche. El borde es muy difícil un
aumento en los secuestros de automóviles: los criminales que quieren un coche de partida sólo puede tomar uno
a punta de pistola.

3. Los primeros teléfonos móviles eran fáciles de villanos a 'clon': los usuarios pronto podrían hallar
en sus facturas infladas por cientos o incluso miles de dólares. Los GSM actuales teléfonos
móviles digitales se autentican a la red mediante un protocolo de desafío-respuesta
criptográfica similares a los utilizados en los seguros de las puertas del coche e
inmovilizadores.

set-top boxes 4. TV vía satélite descifrar las películas así que siempre que se mantenga el pago de su suscripción.
reproductores de DVD utilizan mecanismos de control de copia basados ​en criptografía y los derechos de autor
marca para que sea más difícil de copiar discos (o para reproducirlos fuera de cierta área geográfica). Los
protocolos de autenticación ahora también pueden ser utilizados para establecer comunicaciones seguras en
redes domésticas (incluyendo Wi-Fi, Bluetooth y HomePlug).
 1.7 De fi niciones 11

5. En muchos países, los hogares que no pueden obtener crédito puede obtener contadores de prepago para
la electricidad y el gas, que encabezan utilizando una llave electrónica de tarjeta inteligente u otro que se
re fi ll en una tienda local. Muchas universidades utilizan tecnologías similares para que los estudiantes
pagan por el uso de fotocopiadoras, lavadoras e incluso refrescos.

6. Por encima de todo, la casa ofrece un refugio de seguridad física y aislamiento. El progreso tecnológico tendrá
un impacto en esto de muchas maneras. Los avances en la cerrajería significan que la casa más común
cerraduras pueden ser derrotados con facilidad; Qué importancia tiene? La investigación sugiere que los
ladrones no están preocupados por los bloqueos tanto como por los ocupantes, así que tal vez no importa mucho
- pero entonces tal vez las alarmas se volverá más importante para mantener a raya a los intrusos cuando de
nadie en casa. intrusión electrónica con el tiempo podría convertirse en un problema mayor, a medida que más y
más dispositivos comienzan a comunicarse con los servicios centrales. La seguridad de su hogar puede llegar a
depender de sistemas remotos a través de los cuales usted tiene poco control. Así que probablemente ya utiliza
muchos sistemas que están diseñados para hacer cumplir alguna política de protección u otro uso de
mecanismos electrónicos en gran medida. Durante las próximas décadas, el número de tales sistemas se va a
aumentar rápidamente. En la experiencia pasada, muchos de themwill ser mal diseñados. Las habilidades
necesarias no están distribuidas ampliamente suficiente.

El objetivo de este libro es para que pueda diseñar tales sistemas mejor. Para ello, un ingeniero o
programador necesita para aprender acerca de qué sistemas existen, cómo funcionan, y - al menos tan
importante - la forma en que han fracasado en el pasado. Los ingenieros civiles aprender mucho más de la
que puente que cae que del centenar que se quedan arriba; exactamente lo mismo es en la ingeniería de
seguridad.

1.7 De fi niciones

Muchos de los términos utilizados en la ingeniería de seguridad son sencillos, pero algunos son engañosas o
incluso controvertido. Hay más detalladas de fi niciones de términos técnicos en los capítulos correspondientes,
que se puede hallar utilizando el índice. En esta sección, voy a tratar de señalar dónde se encuentran los
problemas principales.
Lo primero que hay que aclarar es lo que entendemos por sistema. En la práctica, esto puede significar:

1. un producto o componente, tal como un protocolo criptográfico, una tarjeta inteligente o el hardware
de un PC;

2. una colección de lo anterior más un sistema operativo, comunicaciones y otras cosas que van a
constituir la infraestructura de una organización;

3. lo anterior más una o más aplicaciones (reproductor multimedia, navegador, procesador de textos,
cuentas / paquete de nómina, etc.);
12 Capítulo 1 ■ ¿Qué es la Ingeniería de Seguridad?

4. cualquiera o todo lo anterior más el personal de TI;

5. cualquiera o todos los usuarios y la gestión anterior más internas;

6. cualquiera o todos los anteriores clientes más y otros usuarios externos. Confusión entre las de fi niciones
anteriores es una fuente fértil de errores y vulnerabilidades. En términos generales, las comunidades de
proveedores y evaluador se centran en el primero (andoccasionally) la secondof ellos, mientras que un enfoque
businesswill en el sexto (y ocasionalmente el quinto). Vamos a venir a través de muchos ejemplos de sistemas
que se anuncian o incluso certi fi cado como seguro, ya que el hardware era, pero que se rompió mal cuando se
ha ejecutado una aplicación en particular, o cuando se utiliza el equipo de forma que los diseñadores no
previeron. Haciendo caso omiso de los componentes humanos, y por lo tanto dejar de lado los problemas de
usabilidad, es una de las mayores causas de fallo en la seguridad. Así que en general, utilizaremos definición 6;
cuando tomamos una visión más restrictiva, debe quedar claro a partir del contexto.

El siguiente conjunto de problemas proviene de la falta de claridad sobre quiénes son los jugadores y lo que
están tratando de probar. En la literatura sobre la seguridad y la criptografía, es una convención que los directores
de los protocolos de seguridad son identificados por nombres elegidos con (normalmente) sucesivas letras iniciales
-como tantos huracanes - y por lo que vemos una gran cantidad de declaraciones tales como 'Alice autentica a sí
misma a Bob'. Esto hace thingsmuchmore legible, pero a menudo a expensas de la precisión. Dowe significa que
Alice a Bob demuestra que su nombre en realidad isAlice, o que ella demuestra que ella tiene una credencial en
particular? Qué queremos decir que la autenticación se realiza por Alice el ser humano, o por una actuación
herramienta de tarjeta inteligente o software como agente de Alice? En ese caso, ¿estamos seguros de que es
Alice, y tal vez no Cherie a la que Alice prestó su tarjeta, o David que le robó su tarjeta, o Eva que hackeado su PC?

por una tema Voy a decir una persona física (humanos, ET,. . .), Independientemente de su función

entre ellos el de un operador, director o víctima. por una persona, Voy a significar ya sea una persona
física o una persona jurídica como una empresa o gobierno 1.
UNA director de escuela es una entidad que participa en un sistema de seguridad. Esta entidad puede ser un
objeto, una persona, un papel, o una pieza de equipo, como un PC, tarjeta inteligente, o un terminal lector de
tarjetas. Aprincipal también puede ser un canal de comunicaciones (que podría ser un número de puerto, o una
clave de cifrado, en función de la circunstancia). Un principal puede ser también un compuesto de otros
directores; ejemplos son un grupo (Alice o Bob), una conjunción (Alice y Bob actuando juntos), un papel
compuesto (Alice que actúa como gestor de Bob) y una delegación (Bob en funciones de Alice en su ausencia).
Ten en cuenta que los grupos y los roles no son los mismos. por una grupo Voy a significar un conjunto de
principios, mientras que una papel es un conjunto de funciones asumidas por diferentes personas en la serie
(como 'el o fi cial del reloj en el USS Nimitz' o 'el presidente por el momento, de la Asociación Médica de
Islandia'). Un director puede considerarse en más de un nivel de abstracción: por ejemplo 'Bob actuación

1 Que algunas personas no son personas pueden parecer un poco confuso pero está bien establecidos: culpar a los abogados.
 1.7 De fi niciones 13

para Alicia en su ausencia' puede significar 'tarjeta inteligente de Bob que representa Bob que actúe con Alice en
su ausencia' o incluso 'Bob operativo tarjeta inteligente de Alicia en su ausencia'. Cuando tenemos que considerar
con más detalle, voy a ser más específico.
El significado de la palabra identidad es objeto de controversia. Cuando tenemos que tener cuidado, lo voy
a utilizar tomean una correspondencia entre los nombres de dos directores que significa que se refieren a la
misma persona o equipo. Por ejemplo, puede ser importante saber que el Bob en 'Alice actuando como
gerente de Bob' es el mismo que el Bob en 'Bob actuando como gerente de Charlie' y 'a Bob como director de
la sucursal de firmar un cheque bancario en conjunto con David'. A menudo, la identidad se abusa a significar
simplemente 'nombre', un abuso afianzado por frases tales como 'identidad de usuario' y 'ciudadano de la
tarjeta de identidad'. Donde no hay posibilidad de ser ambigua, a veces voy a caer en este uso vernáculo con
el fin de evitar la pomposidad.

Las de fi niciones de confianza y digno de confianza a menudo se confunden. El siguiente ejemplo ilustra la diferencia:
si se observa que un empleado de la NSA en un inodoro en el aeropuerto internacional de Baltimore-Washington venta de
material de claves a un diplomático chino, entonces (suponiendo que su operación no fue autorizada) que lo podemos
describir como 'de confianza, pero no dignos de confianza' . De aquí en adelante, utilizaremos la definición de la NSA que
una de confianza systemor componente es el fracaso onewhose puede romper la política de seguridad, mientras que una digno
de confianza systemor componente es uno que no se producirá un error.

Cuidado, sin embargo, que existen muchas definiciones alternativas de fi de confianza. Una vista militar del Reino
Unido destaca auditabilidad y fail-secure propiedades: un elemento de sistemas de confianza es una 'cuya integridad
no pueda ser asegurada por la observación externa de su comportamiento, mientras que en funcionamiento'. Otras de
fi niciones a menudo tienen que ver con si un sistema particular es aprobado por la autoridad: un systemmight
confianza ser 'un sistema que no me va a conseguir despedido si está pirateada en mi reloj' o incluso 'un sistema que
podemos asegurar'. No voy a usar cualquiera de estas de fi niciones. Cuando nos referimos a un sistema que no es el
fracaso evidente, o un sistema aprobado, o un sistema asegurado, por lo que voy a decir.

La definición de confidencialidad versus intimidad versus secreto se abre otra lata de gusanos. Estos
términos se superponen con claridad, pero igualmente evidente que no son exactamente lo mismo. Si mi
vecino reduce alguna hiedra en nuestra valla común con el resultado de que sus hijos pueden mirar en mi
jardín y se burlan de mis perros, que no es mi con fi dencial que ha sido invadido. Y el deber de guardar
silencio sobre los asuntos de un antiguo empleador es un deber de confianza, no de privacidad.

La manera voy a utilizar estas palabras es la siguiente.

Secreto es un término técnico que se refiere al efecto de los mecanismos utilizados para limitar el
número de directores que pueden acceder a la información, como los controles de criptografía o de
acceso al ordenador.

Confidencialidad implica la obligación de proteger algunos otros secretos de la persona u

organización de si los conoce.

Intimidad es la capacidad y / o derecho de proteger su información personal y se extiende a la

capacidad y / o derecho de impedir las invasiones de su
14 Capítulo 1 ■ ¿Qué es la Ingeniería de Seguridad?

espacio personal (la exacta definición de la cual varía de forma considerable de un país a otro).
Privacidad puede extender a las familias, pero no a las personas jurídicas tales como corporaciones.

Por ejemplo, los pacientes hospitalizados tienen derecho a la privacidad, y con el fin de defender este derecho
a los médicos, enfermeras y otro personal tienen el deber de confianza hacia sus pacientes. El hospital no tiene
derecho de privacidad con respecto a sus relaciones comerciales, pero los empleados que están al tanto de ellos
puede tener la obligación de confianza. En resumen, la privacidad es el secreto para el beneficio del individuo,
mientras que la confidencialidad es el secreto para el beneficio de la organización.

Hay una complejidad, además, porque a menudo no es su fi ciente para proteger los datos, tales como los
contenidos de los mensajes; también tenemos que proteger a los metadatos, tales como registros de quién habló
con quién. Por ejemplo, muchos países tienen leyes que hacen el tratamiento de enfermedades de transmisión
sexual en secreto, y sin embargo, si un investigador privado podría hallar que se intercambiaban mensajes cifrados
con una clínica de ETS, que bien podría llegar a la conclusión de que estaban siendo tratados allí. (Un modelo
famosa en Gran Bretaña ha ganado recientemente una demanda privacidad contra un tabloide que imprimió una
fotografía de su salida de una reunión de Narcóticos Anónimos.) Por lo tanto anonimato puede ser sólo un factor tan
importante en la vida privada (o confidencialidad) como el secreto. Para hacer las cosas aún más complejo, algunos
autores se refieren a lo que hemos llamado el secreto como el contenido del mensaje confidencialidad y para lo que
hemos llamado el anonimato como fuente del mensaje (o destino) confidencialidad.

En general, el anonimato es difícil. Es dif fi cil ser anónimo por su cuenta; que en general tienen una multitud de
esconderse en Además, nuestros códigos legales no están diseñados para soportar el anonimato:. es mucho más
fácil para la policía para obtener información de facturación detallada de la compañía telefónica, que les dice que
llamó a los cuales, de lo que es conseguir una escucha telefónica real. (Y a menudo es muy útil.)

Los significados de autenticidad y integridad también puede variar sutilmente. En la literatura académica
sobre los protocolos de seguridad, autenticidad significa integridad, más frescura: que haya establecido que
usted está hablando a un auténtico capital, y no una repetición de previousmessages.We tiene una idea similar
en protocolos bancarios. En un país cuyas leyes bancarias del estado que los cheques ya no es válida
después de seis meses son, un cheque de siete meses sin cobrar tiene integridad (suponiendo que no ha sido
alterado), pero ya no es válida. El uso militar tiende a ser que la autenticidad se aplica a la identidad de los
directores y órdenes que impartan, mientras que la integridad se aplica a los datos almacenados. Así,
podemos hablar de la integridad de una base de datos de amenazas de guerra electrónica (no se ha dañado,
ya sea por el otro lado o por Murphy), pero la autenticidad de las órdenes de un general (que tiene una
overlapwith el uso académico). Sin embargo, hay algunos usos extraños. Por ejemplo, uno puede hablar de
una copia auténtica de un orden engañosa dada por la gente de guerra electrónica de la otra parte; aquí la
autenticidad se refiere al acto de copia y almacenamiento. Del mismo modo, la escena del crimen de la policía
o fi cial hablará sobre la preservación de la integridad de un cheque falsificado, colocándolo en una bolsa de
pruebas.
 1.8 Resumen 15

El lastmatter Voy a aclarar aquí es la describeswhat terminologywhich que estamos tratando de lograr. UNA vulnerabilidad
es una propiedad de un sistema o de su medio ambiente que, en conjunción con un interno o externo amenaza, puede
conducir a una fallo en la seguridad, que es una violación de la política de seguridad del sistema. Por politica de
seguridad Voy a decir una declaración sucinta de la estrategia de protección de un sistema (por ejemplo, 'cada
crédito debe ir acompañada de un débito igual y opuesta, y todas las transacciones más de $ 1.000 debe ser
autorizado por dos gestores). UNA objetivo de seguridad es una forma más detallada especificación que establece los
medios por los cuales se implementará una política de seguridad en un producto en particular - los mecanismos de
cifrado y firma digital, controles de acceso, registros de auditoría y así sucesivamente - andwhichwill ser utilizado
como criterio para evaluar si los diseñadores y ejecutores han hecho un trabajo adecuado. Entre estos dos niveles es
posible encontrar una protección per fi l de que es como un objetivo de seguridad, excepto por escrito de una manera
independiente del dispositivo su fi cientemente para permitir una evaluación comparativa entre los diferentes
productos y diferentes versiones de un mismo producto. Voy a elaborar las políticas de seguridad, objetivos de
seguridad y protección de los per fi les en capítulos posteriores. En general, la palabra proteccion significará una
propiedad como confidencialidad o integridad, definida en un fi cientemente suf manera abstracta para nosotros para
razonar sobre ello en el contexto de los sistemas generales en lugar de implementaciones específicas.

1.8 Resumen

Hay una gran confusión terminológica en la ingeniería de seguridad, muchos de los cuales se debe al elemento
de conflicto. 'Seguridad' es una palabra terriblemente sobrecargado, que a menudo significa cosas bastante
incompatibles para diferentes personas.
Para una corporación, que podría significar la capacidad de supervisar la navegación andweb de correo electrónico
de todos los empleados; a los empleados, que mightmean ser capaz de utilizar el correo electrónico y la web sin ser
supervisado. A medida que pasa el tiempo, y los mecanismos de seguridad son utilizados cada vez más por la gente
que controla el diseño de un sistema para obtener alguna ventaja comercial sobre las otras personas que lo utilizan,
podemos esperar que los conflictos, la confusión y el uso engañoso del lenguaje a aumentar.

Uno se acuerda de un pasaje de Lewis Carroll:

'' Cuando uso una palabra, '' Humpty Dumpty dijo, en un tono más bien despectivo, '' quiere decir lo que yo
quiero que signifique -. Ni más ni menos '' '' La pregunta es, '' dijo Alicia, ''. tanto si se puede hacer que las
palabras signifiquen tantas cosas diferentes '' '' La pregunta es, '' dijo Humpty Dumpty, '' lo que es ser
maestro -. eso es todo ''

El ingeniero de seguridad debe desarrollar sensibilidad a los diferentes matices de significado que
adquieren commonwords aplicaciones indiferentes, y para ser capaz de formalizewhat la política de seguridad
y de destino son en realidad. Esto puede a veces ser un inconveniente para los clientes que desean salirse
con la suya, pero, en general, diseño de seguridad robusta requiere que los objetivos de protección aremade
explícita.