Security through obscurity

Z Wikipedii, wolnej encyklopedii
Przejdź do nawigacji Przejdź do wyszukiwania

Security through obscurity lub security by obscurity (z ang. bezpieczeństwo przez niejawność) − przykład praktyk stosowanych w bezpieczeństwie teleinformatycznym, którego istotą jest ukrywanie detali dotyczących implementacji, formatów i protokołów przed potencjalnymi adwersarzami. Osoby stosujące tę technikę zakładają, że nawet jeśli system posiada luki, nieznajomość błędów utrudnia przeprowadzenie ataku. W środowiskach kryptograficznych i bezpieczeństwa security through obscurity jest powszechnie uważane za podejście błędne, które obniża, zamiast podwyższać, bezpieczeństwo systemu.

Claude Elwood Shannon (urodzony 30 kwietnia 1916 - zmarł 24 lutego 2001 po długotrwałych zmaganiach z chorobą Alzheimera) - amerykański matematyk i inżynier, profesor MIT. Jeden z twórców teorii informacji. Jako jeden z pierwszych pojął doniosłość kodu binarnego i już jako młody człowiek proroczo twierdził, że ciągami zer i jedynek da się opisać tekst, obraz i dźwięk.Zaciemnianie kodu (także obfuskacja, z ang. obfuscation) to technika przekształcania programów, która zachowuje ich semantykę, ale znacząco utrudnia zrozumienie. Istnieją również narzędzia (obfuskatory) modyfikujące kod źródłowy, pośredni bądź binarny w celu utrudnienia inżynierii wstecznej programu. Wyróżniamy 3 typy transformacji obfuskacyjnych:

Przykłady[ | edytuj kod]

Oyster Card[ | edytuj kod]

Oyster Card to bezdotykowa karta elektroniczna w standardzie Mifare wydawana przez Transport for London – firmę zarządzającą londyńskim systemem transportu miejskiego. Grupa naukowców z Uniwersytetu w Nijmegen pokazała, że jej zabezpieczenie jest proste do przełamania. Producent procesora – firma NXP Semiconductors – nazwał ujawnienie tej informacji "nieodpowiedzialnym" i wystąpił do sądu o wydanie zakazu publikacji, aby w ten sposób zabezpieczyć interesy swoich klientów. Wniosek ten został odrzucony, a The Guardian opublikował artykuł Bruce'a Schneiera sugerujący, że ujawnienie metody ataku przyniesie długofalowe korzyści dla bezpieczeństwa publicznego.

Bezpieczeństwo teleinformatyczne – zbiór zagadnień z dziedziny telekomunikacji i informatyki związany z szacowaniem i kontrolą ryzyka wynikającego z korzystania z komputerów, sieci komputerowych i przesyłania danych do zdalnych lokalizacji, rozpatrywany z perspektywy poufności, integralności i dostępności.Transport miejski – sfera działalności gospodarczej polegającej na wykonywaniu usług przewozowych na terenie miasta oraz obszarach podmiejskich. Problematyka transportu miejskiego dotyka w głównej mierze zagadnień transportu pasażerskiego, więc termin ten bywa stosowany zamiennie z terminem komunikacja miejska. Ze względu na wykorzystywane środki transportu wyróżnić można miejski transport drogowy, miejski transport szynowy, miejski transport wodny.

Fetchmail[ | edytuj kod]

Eric Raymond, w eseju The Cathedral and the Bazaar, opisał security by obscurity na przykładzie jednego z programów swojego autorstwa. Fetchmail jest narzędziem, które automatyzuje proces pobierania poczty elektronicznej ze zdalnych serwerów POP3 lub IMAP. Dane konta pocztowego podane są w pliku konfiguracyjnym. Użytkownicy programu wielokrotnie prosili o dodanie możliwości kodowania hasła, aby osoba mająca dostęp do pliku konfiguracyjnego nie mogła odczytać hasła. Eric argumentował, że właściwą metodą ochrony hasła jest uniemożliwienie dostępu do pliku konfiguracyjnego (poprzez odebranie prawa do odczytu pozostałym użytkownikom) i odmówił implementacji złudnego zabezpieczenia.

Mifare – bezdotykowy standard karty opracowany przez firmę Philips (aktualnie NXP Semiconductors) w 1994 (Mifare Standard 1k). W 1997 opublikowano standard Mifare Pro, w którym karta jest wyposażona w mikroprocesor z koprocesorem szyfrującym algorytmem 3DES. W 1999 powstała kolejna edycja: Mifare ProX, nowa karta zabezpieczona poprzez wykorzystanie PKI. W tym samym roku sprzedano 50-milionową bezdotykową kartę z interfejsem Mifare. W 2000 roku opracowano pierwszy na świecie w pełni zgodny z ISO/IEC 14443 czytnik IC (rodzina czytników RC500). Sprzedanych zostało 100 milionów kart Dual Interface Mifare. W styczniu 2002 do sprzedaży trafiły karty Mifare 4k. Standard ten obowiązuje do dziś.Bruce Schneier (ur. 15 stycznia 1963) – amerykański kryptograf i specjalista z zakresu bezpieczeństwa teleinformatycznego. Autor książek opisujących zagadnienia bezpieczeństwa teleinformatycznego oraz kryptografii. Jest także założycielem oraz dyrektorem technicznym firmy BT Counterpane [1].


Podstrony: 1 [2] [3]




Warto wiedzieć że... beta

Kryptosystem – system, którego podstawowym celem jest dokonywanie operacji kryptograficznych. Jest to zbiór współdziałających ze sobą szyfrów, procedur ich użycia, protokołów zapisu danych, urządzeń.
Nijmegen - miasto we wschodniej Holandii, w prowincji Geldria, w pobliżu granicy z Niemcami, nad rzeką Waal, 20 km na południe od Arnhem. Około 160 tys. mieszkańców.
Klucz – w kryptografii informacja umożliwiająca wykonywanie pewnej czynności kryptograficznej – szyfrowania, deszyfrowania, podpisywania, weryfikacji podpisu itp.
The Cathedral and the Bazaar, często w skrócie CatB (pl. Katedra i bazar) – esej Erica Raymonda na temat sposobów tworzenia oprogramowania Open Source, oparty na jego obserwacjach powstawania jądra Linuksa oraz doświadczeniu związanym z koordynacją projektu Open Source o nazwie fetchmail.
Honeypot (ang. honey – miód; pot – garniec) to w informatyce pułapka mająca na celu wykrycie prób nieautoryzowanego użycia systemu czy pozyskania danych. Najczęściej składa się z komputera, danych i wyodrębnionego obszaru sieci lokalnej, które udają prawdziwą sieć, lecz są odizolowane i odpowiednio zabezpieczone. Wszystko to z zewnątrz wygląda jakby zawierało informacje lub zasób, który mógłby być potencjalnym celem cyberprzestępcy. Systemy honeypot działają najczęściej pod kontrolą specjalistycznego oprogramowania. Istnieją zaawansowane wersje honeypotów przeznaczone dla ogromnych sieci będących własnością wielkich ISP, jak również w miarę proste systemy nadające się doskonale do ochrony małej sieci firmowej lub domowej. Te ostatnie mogą być z powodzeniem zainstalowane na domowym komputerze.
Procesor (ang. processor), także CPU (ang. Central Processing Unit) – urządzenie cyfrowe sekwencyjne, które pobiera dane z pamięci, interpretuje je i wykonuje jako rozkazy. Wykonuje on ciąg prostych operacji (rozkazów) wybranych ze zbioru operacji podstawowych określonych zazwyczaj przez producenta procesora jako lista rozkazów procesora.
Głębokie ukrycie (zwane też zagłębieniem lub niejawną lokalizacją) - praktyka ochrony danych komputerowych, polegająca na umieszczeniu ich w nieprzewidywalnej i trudnej do odgadnięcia dla przeciętnego użytkownika ścieżce dostępu, zazwyczaj połączone z ukryciem faktu zapisania danych w tejże lokalizacji.

Reklama