Re: URGENTE

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Alvaro Herrera escribió:
> LIZETH ANGHELA SIRPA CACERES escribió:
>> Esta semana estaba ocupada en un congreso que se esta realizando en Bolivia
>> CCBOL Congreso Nacional de Ciencias de la Computacion, asi que no pude
>> escribir.
>
> Pff, me habían invitado a participar del CCBOL hace meses, pero mi
> contacto allá dejó de escribirme un día y no supe nada más :-( ¡Espero
> que haya ido todo bien y que haya sido exitoso! ¿Tuvieron alguien
> hablando sobre Postgres?
>
>
>> Para desarrollar una herramienta que pueda proteger los procedimientos
>> almacenados, el mejor camino, se puede decir que es (comunmente usada) la
>> encriptacion, pero alguien escucho hablar de la "Ofuscacion de codigo", para
>> poder realizar mi tesis tengo que comprobar algo, asi que estoy enfrentando
>> a la ofuscacion de codigo y a la encriptacion para saber cual es la mas
>> efectiva respecto a los ataques de intrusos informaticos (hackers, crackers,
>> etc) a procedmientos almacenados de bases de datos.
>
> Creo que lo primero es hacer un análisis del problema de seguridad.
> Bruce Schneier, experto en el tema, invita a un análisis de cinco pasos:
>
> 1. ¿qué activos estás tratando proteger?
> 2. ¿cuáles son los riesgos a esos activos?
> 3. ¿qué tan bien mitiga la solución de seguridad estos riesgos?
> 4. ¿qué otros riesgos causa la solución de seguridad?
> 5. ¿qué costos y compromisos impone la solución de seguridad?
>
> Estos cinco pasos no te dan una solución a un problema de seguridad --
> más bien, te permiten evaluar una posible solución de seguridad. En
> definitiva llevan a otra pregunta: ¿vale la pena la solución de
> seguridad?
>
> La seguridad es un típico problema de "eslabón más débil". Si tu
> solución de seguridad ataca un problema que no es el más débil, entonces
> el sistema en general no es más seguro cuando atacas ese problema.
>
> Creo que la pregunta que hay que hacerse es: ¿qué problema de seguridad
> resuelve la encriptación u ofuscación de código? Hasta donde puedo ver,
> son una solución en busca de un problema. Primero habría que mostrar
> que realmente hay una vulnerabilidad que sea resuelta mediante la
> encriptación u ofuscación.
>
>
>
> bibliografía: "Beyond Fear", Bruce Schneier, 2006.
>

Solo para reforzar lo que comenta Alvaro sobre los cinco temas que trata Schneier, según he aprendido en todos estos años en que me he dedicado a la
seguridad informática, lo mas importante de todo esto es que siempre te preguntes que es lo que quieres proteger y si la solución que estas ofreciendo
para realizar la protección no termina siendo en si un problema de seguridad debido a la complejidad, vamos, al final el nivel de seguridad va en
función de aquello que se quiere proteger, cualquier desbalanceo entre estos dos temas puede terminar en una brecha de seguridad importante.

Yo te recomendaria que le dieras una leída a The Database Hacker's Handbook: Defending Database Servers de David Litchfield, Chris Anley, John Heasman
y Bill Grindlay. Yo compre este libro y al principio observe que la parte mas pequeña era la dedicada a PostgreSQL, al principio pensé que se trataba
de un libro nada serio que no le había dedicado el tiempo suficiente a PostgreSQL, pero una vez que lees ese capítulo te das cuenta de la realidad,
PostgreSQL es muy pero muy seguro desde el arranque. Asi que con una buena configuración en realidad no hay mucho que atacar.

Saludos.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFG89b9+nACvgizD48RAoLSAJsEpYgKssh2xK/LQewERZAHizDXHwCg1ILy
s512yl44dy9XeN+9GE7n0ck=
=RuD1
-----END PGP SIGNATURE-----