La seguridad es un proceso

Un interesante comentario a mi artículo http://www.codeproject.com/useritems/HackingMd5.asp de parte de Erik Westermann {dispatches}

La siguiente es una traducción libre del comentario (el original se puede leer aquí:http://www.codeproject.com/useritems/HackingMd5.asp#xx1231841xx

Creo que la intención es demostrar un tipo muy específico de ataque que explota la inherente confianza en el hashMD5. Es una especie de ataque de ingenieria semi-social.

El ataque mostrado en el artículo ilustra como el distribuidor-autor-etc puede distribuir una “buena” aplicación y luego empezar a distribuir una aplicación dañina explotanto la confianza dada al hash MD5 de la aplicación “buena”. De todas maneras, este es un escenario muy específico, y usa vectores predefinidos; sin embargo ayuda a reforzar una verdad fundamentas sobre seguridad.

Bruce Schneier indica que la seguridad es un proceso, no un producto¹. Este artículo demuestra un ataque específico que explota la visión de la seguridad basada en el producto…“Este archivo es seguro porque el hash MD5que recién calcule coincide con el hash MD5 publicado (y bien conocido). El artículo resalta la importanca de establecer un proceso que asume que los producto tienen fallas y maneja la exposición a los ataque y trata en forma efectiva con las brechas.

No podría decirlo mejor, Erik Westermann ha resaltado mejor que yo el objetivo de este artículo, y de paso hemos reforzado una vieja lección, la seguridad es un proceso.