From: | Alvaro Herrera <alvherre(at)commandprompt(dot)com> |
---|---|
To: | LIZETH ANGHELA SIRPA CACERES <angheliz(at)gmail(dot)com> |
Cc: | Arturo Munive <arturomunive(at)gmail(dot)com>, pgsql-es-ayuda(at)postgresql(dot)org |
Subject: | Re: URGENTE |
Date: | 2007-09-20 23:15:48 |
Message-ID: | 20070920231548.GH30013@alvh.no-ip.org |
Views: | Raw Message | Whole Thread | Download mbox | Resend email |
Thread: | |
Lists: | pgsql-es-ayuda |
LIZETH ANGHELA SIRPA CACERES escribió:
> Esta semana estaba ocupada en un congreso que se esta realizando en Bolivia
> CCBOL Congreso Nacional de Ciencias de la Computacion, asi que no pude
> escribir.
Pff, me habían invitado a participar del CCBOL hace meses, pero mi
contacto allá dejó de escribirme un día y no supe nada más :-( ¡Espero
que haya ido todo bien y que haya sido exitoso! ¿Tuvieron alguien
hablando sobre Postgres?
> Para desarrollar una herramienta que pueda proteger los procedimientos
> almacenados, el mejor camino, se puede decir que es (comunmente usada) la
> encriptacion, pero alguien escucho hablar de la "Ofuscacion de codigo", para
> poder realizar mi tesis tengo que comprobar algo, asi que estoy enfrentando
> a la ofuscacion de codigo y a la encriptacion para saber cual es la mas
> efectiva respecto a los ataques de intrusos informaticos (hackers, crackers,
> etc) a procedmientos almacenados de bases de datos.
Creo que lo primero es hacer un análisis del problema de seguridad.
Bruce Schneier, experto en el tema, invita a un análisis de cinco pasos:
1. ¿qué activos estás tratando proteger?
2. ¿cuáles son los riesgos a esos activos?
3. ¿qué tan bien mitiga la solución de seguridad estos riesgos?
4. ¿qué otros riesgos causa la solución de seguridad?
5. ¿qué costos y compromisos impone la solución de seguridad?
Estos cinco pasos no te dan una solución a un problema de seguridad --
más bien, te permiten evaluar una posible solución de seguridad. En
definitiva llevan a otra pregunta: ¿vale la pena la solución de
seguridad?
La seguridad es un típico problema de "eslabón más débil". Si tu
solución de seguridad ataca un problema que no es el más débil, entonces
el sistema en general no es más seguro cuando atacas ese problema.
Creo que la pregunta que hay que hacerse es: ¿qué problema de seguridad
resuelve la encriptación u ofuscación de código? Hasta donde puedo ver,
son una solución en busca de un problema. Primero habría que mostrar
que realmente hay una vulnerabilidad que sea resuelta mediante la
encriptación u ofuscación.
bibliografía: "Beyond Fear", Bruce Schneier, 2006.
--
Alvaro Herrera http://www.CommandPrompt.com/
The PostgreSQL Company - Command Prompt, Inc.
From | Date | Subject | |
---|---|---|---|
Next Message | Guido Barosio | 2007-09-20 23:24:40 | Cafeconf 2007 |
Previous Message | Miguel Ortega | 2007-09-20 20:50:35 | pg_restore |