Acabo de terminar de leer "Secretos y Mentiras" de Bruce Schneier. Reseñas del libro hay decenas en Internet, y no soy demasiado bueno haciéndolas yo mismo, pero no me resisto a hacer mis propios comentarios.
Para empezar, hay quienes lo consideran lectura obligatoria para cualquier persona interesada en la seguridad digital.Yo no sé si diría tanto. Buena parte del libro está cubierta si conoces rudimentos de criptografía, networking o programación. La visión global sí puede ser algo más novedosa. Hay que tener en cuenta que se escribió antes del 2000 y seguramente mucho de lo que damos por sabido no lo era entonces.
Lo que sí es cierto y es su enorme virtud, es que cualquier persona sea cual sea su formación puede llegar a entender en qué consiste la seguridad en la informática y las comunicaciones y a qué retos se enfrenta. Seguro que para alguien sin ese tipo de formación, la lectura del libro tiene que ser poco menos que una Revelación con mayúsculas. Estoy por recomendárselo a mi padre, aunque no sé si tiene el suficiente interés en la materia como para leerlo en inglés.
Para los que nos movemos en el terreno de la tecnología, sin ser expertos en seguridad (mi caso, aunque cada vez me toca más tenerla en cuenta), quitando las cosas básicas, podemos sacar algunas conclusiones. Las mías:
- La seguridad no interesa porque no es rentable. Una forma de solucionarlo sería hacer responsables a los productores de software y a las empresas(liability). La entrada de las aseguradoras en ese mercado sería la prueba del buen camino.(No es un mal punto de vista si dirijes una empresa de seguridad).
- La seguridad es una cadena, tan débil como el eslabón más débil... casi siempre los usuarios(entendido en sentido amplio, también los administradores se llevan lo suyo).
- La buena seguridad es muy difícil de distinguir de la mala. La simplicidad y revisión pública(me viene a la cabeza OpenBSD) son las mejores maneras de conseguir un buen grado de certidumbre...
- ...pero que haya muchos ojos tampoco asegura que estén mirando. Tampoco nadie te salva de un descubrimiento "espectacular" en criptografía y mucho menos de un bug en tu software.
- La seguridad no es un todo-nada. Como criptógrafo, Scheneier, tenía esa concepción "militar" de la seguridad. Consiguen descifrar tu mensaje y has perdido; no lo consiguen, has ganado. Éso llevado al terreno práctico no funciona. Hay demasiados agujeros, lo importante es detectar y responder a los ataques. También depende de tus objetivos. A veces con ahuyentar al 99% de los atacantes, puede ser bastante(pensad en mecanismos anticopia y similares).
- El full disclosure es bueno(con matices).
- Microsoft apesta (lo siento, pero lo pone como mal ejemplo de casi todo ;-)
- La seguridad es un proceso, no un producto. (Ésto se le ha copiado hasta la saciedad).
y muchas más que ahora no recuerdo.
Si queréis más, la página del libro en la web del autor, que por cierto no tiene desperdicio. Muy interesante esta crítica a IPSec.
El libro completo anda por las P2P como un txt...