Security og/eller obscurity.

En artikel på Business.dk om erhvervslederes sikkerhed fangede mit øje, ikke mindst på grund af følgende citat:

Citat:

Vi kan naturligvis ikke fortælle, hvad vi gør. For så er der jo ikke meget fidus i den ekstra sikkerhed,

Det er ganske vidst en "kommunikationsdirektør" der udtaler sig, men jeg er ret sikker på at han ved hvad han taler om: sandsynligheden for at han selv ved hvordan der passes på Mads Clausen er meget lille.

Tesen er 100% stik imod hvad vi siger i IT branchen, hvor folk er blevet verbalt slået ned med "Security through obscurity does not work" flere gange end intmax_t kan tælle.

Men der er jo noget her der ikke holder, for det siger sig selv, at hvis kommunikationsdirektøren havde plapret ud med hvor mange sikkerhedsfolk, hvilke pansrede biler og alle mulige andre detailler, så ville han have gjort det nemmere at angribe Danfoss-bossen, end hvis angriberne selv skal finde ud af alle disse detailler.

Historien mindede mig om at jeg er ved at blive lidt træt af de typer, der har lært at råbe "Security through obscurity does not work" hver gang der er noget de ikke kan få at vide.

Der er forskel på at tro, at noget er sikkert fordi det er hemmeligt og på at holde kompetente sikkerhedsforanstaltninger hemmelige.

Hvis min bank hyrer Bruce Schneier og han nikker lodret på deres Web-bank løsning, så er det ikke security through obscurity, når de ikke vil fortæller nogen i hvilket rum de har opstillet certifikat-serveren.

Men hvis min bank laver en web-bank løsning som ingen kompetente uafhængige personer får lov at kigge på, så er det security through obscurity.

Her kommer så dagens quiz:

I hvilke af de nu tre forskellige nationale IT-Sikkerhedsråd forstår et flertal af medlemmerne denne fine nuance ?

phk

Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Torben Mogensen Blogger

virker ikke i det lange løb, men kan sagtens være godt til sikkerhed med kort tidshorisont. Med andre ord, så er det en god ide at holde ruten for en pengetransport hemmelig, for chancen for at fjenden finder ud af ruten, inden det kan være ligemeget (dvs. efter transporten er sket), er ikke voldsomt stor.

Men for sikkerhed med lang tidshorisont såsom kryptering af data, der skal være hemmelig i årtier, så må man påregne, at metoden ikke kan holdes hemmelig. Og så skal metoden helst kunne håndtere fuld offentlighed.

Så man burde nok omformulere det til "security through obscurity doesn't work in the long run".

  • 0
  • 0
Kasper Birch Olsen

Torben har naturligvis ret, under den forudsætning at der er nogen der gider gøre en indsats for at finde ud af dine hemmeligheder. Hvis dit system bare har brug for at ingen falder over dine hemmeligheder ved et tilfælde så er obscurity en fin løsning. De fleste andre steder i samfundet lever man fint med at det ikke er alt der er perfekt sikret. Min hoveddør er nok låst, men hvis du virkeligt gerne vil ind så kommer du det nok.

  • 0
  • 0
Anonym

PHK.

Uden at deltage i debatten om sikkerhedsråd, så bør det måske påpeges at der er forskel på obscurity for at dække over at man har dårlig sikkerhed uden at gøre noget ved det og "obscurity" for at skabe uforudsigelighed.

I sikkerhed bruger man jo ofte "salt" for bevidst at tilføje et element af tilfældighed. Det gælder selvfølgelig også i en række ikke-tekniske sammenhænge, såsom hvilke rute som vælges, hvornår vagterne går runder eller hvornår legitime kontroller finder sted. Hvis man kan forudsige alle aspekter kan man også forudsige om et angreb vil gå godt, hvilket f.eks. er et seriøst problem med al automatisk identifikation.

Problemet opstår når man bruger obscurity til at dække over det faktum at sikkerheden på vigtige områder er elendig, så det kun er et spørgsmål om tid og skadesomfang førend noget går galt.

F.eks. er det meget sjældent at embedsmænd taler om "sikkerhed" for borgerne uden at mene kontrol, overvågning og anden ren obscurity.

  • 0
  • 0
Jens Pedersen

Det kommer helt an på hvem man vil narre og hvad man vil opnå...

Security by obcurity vil aldrig kunne stå alene, men så længe man ikke baserer sine systemer på det alene så er det et ganske behændigt værktøj.

Eksempelvist praktiserer jeg at ssh-adgang ligger på en ikke-standard-port. Sikrer det i sig selv målrettede hackere? Næppe, men det gør logfiler en hel del mere overskuelige. Kombineret med max antal mislykkede forsøg på at komme ind før man bliver blokeret og det begynder at ligne noget.

Det udelukker ikke vellykkede angreb, men det reducerer antallet af personer der har mulighed for at forsøge at bryde ind.

Derfor skal man stadig sikre systemer, holde dem opdaterede og så videre, men det skader ikke at gøre livet lidt nemmere for sig selv...

  • 0
  • 0
Jens Pedersen

På samme måde offentliggør jeg ikke netværkstopologier over net jeg administrerer. Ikke at det er voldsomt hemmeligt, men der er ingen grund til ligefrem at udlevere et roadmap til hvordan man bryder ind i et givent IT-system.
Security by obscurity VIRKER - Det virker bare ikke så godt at man må tillægge det nogen egentlig værdi og derfor slække på sikkerheden andre steder...

  • 0
  • 0
Log ind eller Opret konto for at kommentere