• Artykuły
  • Forum
  • Ciekawostki
  • Encyklopedia
  • Security through obscurity


    UWAGA: TA PODSTRONA MOŻE ZAWIERAĆ TREŚCI PRZEZNACZONE TYLKO DLA OSÓB PEŁNOLETNICH



    Przeczytaj także...
    Obrona w głąb (ang. defence in depth) − taktyka projektowania zabezpieczeń dla systemów informatycznych. Polega ona na wprowadzeniu wielu, niezależnych warstw zabezpieczeń. Taka nadmiarowość znacząco ponosi poziom ochrony ograniczając skutki błędów i ataków.Post Office Protocol version 3 (POP3) to protokół internetowy z warstwy aplikacji pozwalający na odbiór poczty elektronicznej ze zdalnego serwera do lokalnego komputera poprzez połączenie TCP/IP. Ogromna większość współczesnych internautów korzysta z POP3 do odbioru poczty.
    Claude Elwood Shannon (urodzony 30 kwietnia 1916 - zmarł 24 lutego 2001 po długotrwałych zmaganiach z chorobą Alzheimera) - amerykański matematyk i inżynier, profesor MIT. Jeden z twórców teorii informacji. Jako jeden z pierwszych pojął doniosłość kodu binarnego i już jako młody człowiek proroczo twierdził, że ciągami zer i jedynek da się opisać tekst, obraz i dźwięk.

    Security through obscurity lub security by obscurity (z ang. [zapewnienie] bezpieczeństwa słabo znanymi [metodami]) − przykład złych praktyk stosowanych w bezpieczeństwie teleinformatycznym, którego istotą jest ukrywanie detali dotyczących implementacji, formatów i protokołów przed potencjalnymi adwersarzami. Osoby stosujące tę technikę wierzą, że nawet jeśli system posiada luki, nieznajomość błędów uniemożliwia przeprowadzenie ataku.

    Zaciemnianie kodu (także obfuskacja, z ang. obfuscation) to technika przekształcania programów, która zachowuje ich semantykę, ale znacząco utrudnia zrozumienie. Istnieją również narzędzia (obfuskatory) modyfikujące kod źródłowy, pośredni bądź binarny w celu utrudnienia inżynierii wstecznej programu. Wyróżniamy 3 typy transformacji obfuskacyjnych:Bezpieczeństwo teleinformatyczne – zbiór zagadnień z dziedziny telekomunikacji i informatyki związany z szacowaniem i kontrolą ryzyka wynikającego z korzystania z komputerów, sieci komputerowych i przesyłania danych do zdalnych lokalizacji, rozpatrywany z perspektywy poufności, integralności i dostępności.

    Przykłady[]

    Oyster Card[]

    Oyster Card to bezdotykowa karta elektroniczna w standardzie Mifare wydawana przez Transport for London – firmę zarządzającą londyńskim systemem transportu miejskiego. Grupa naukowców z Uniwersytetu w Nijmegen pokazała, że jej zabezpieczenie jest proste do przełamania. Producent procesora – firma NXP Semiconductors – nazwał ujawnienie tej informacji "nieodpowiedzialnym" i wystąpił do sądu o wydanie zakazu publikacji, aby w ten sposób zabezpieczyć interesy swoich klientów. Wniosek ten został odrzucony, a The Guardian opublikował artykuł Bruce'a Schneiera sugerujący, że ujawnienie metody ataku przyniesie długofalowe korzyści dla bezpieczeństwa publicznego.

    Transport miejski – sfera działalności gospodarczej polegającej na wykonywaniu usług przewozowych na terenie miasta oraz obszarach podmiejskich. Problematyka transportu miejskiego dotyka w głównej mierze zagadnień transportu pasażerskiego, więc termin ten bywa stosowany zamiennie z terminem komunikacja miejska. Ze względu na wykorzystywane środki transportu wyróżnić można miejski transport drogowy, miejski transport szynowy, miejski transport wodny.Mifare – bezdotykowy standard karty opracowany przez firmę Philips (aktualnie NXP Semiconductors) w 1994 (Mifare Standard 1k). W 1997 opublikowano standard Mifare Pro, w którym karta jest wyposażona w mikroprocesor z koprocesorem szyfrującym algorytmem 3DES. W 1999 powstała kolejna edycja: Mifare ProX, nowa karta zabezpieczona poprzez wykorzystanie PKI. W tym samym roku sprzedano 50-milionową bezdotykową kartę z interfejsem Mifare. W 2000 roku opracowano pierwszy na świecie w pełni zgodny z ISO/IEC 14443 czytnik IC (rodzina czytników RC500). Sprzedanych zostało 100 milionów kart Dual Interface Mifare. W styczniu 2002 do sprzedaży trafiły karty Mifare 4k. Standard ten obowiązuje do dziś.

    Fetchmail[]

    Eric Raymond, w eseju The Cathedral and the Bazaar, opisał security by obscurity na przykładzie jednego z programów swojego autorstwa. Fetchmail jest narzędziem, które automatyzuje proces pobierania poczty elektronicznej ze zdalnych serwerów POP3 lub IMAP. Dane konta pocztowego podane są w pliku konfiguracyjnym. Użytkownicy programu wielokrotnie prosili o dodanie możliwości kodowania hasła, aby osoba mająca dostęp do pliku konfiguracyjnego nie mogła odczytać hasła. Eric argumentował, że właściwą metodą ochrony hasła jest uniemożliwienie dostępu do pliku konfiguracyjnego (poprzez odebranie prawa do odczytu pozostałym użytkownikom) i odmówił implementacji złudnego zabezpieczenia.

    Bruce Schneier (ur. 15 stycznia 1963) – amerykański kryptograf i specjalista z zakresu bezpieczeństwa teleinformatycznego. Autor książek opisujących zagadnienia bezpieczeństwa teleinformatycznego oraz kryptografii. Jest także założycielem oraz dyrektorem technicznym firmy BT Counterpane [1].Kryptosystem – system, którego podstawowym celem jest dokonywanie operacji kryptograficznych. Jest to zbiór współdziałających ze sobą szyfrów, procedur ich użycia, protokołów zapisu danych, urządzeń.

    Krytyka[]

    Najczęściej stosowanym argumentem krytyków security through obscurity jest (sformułowana w 1883) zasada Kerckhoffsa. Mówi ona, że system kryptograficzny powinien być bezpieczny nawet wtedy, gdy wszystkie szczegóły jego działania – oprócz klucza – są znane. Na tę zasadę powołał się Ross Anderson w podręczniku Security Engineering dyskutując kwestię otwartości w systemie zarządzania nuklearnego:

    Nijmegen - miasto we wschodniej Holandii, w prowincji Geldria, w pobliżu granicy z Niemcami, nad rzeką Waal, 20 km na południe od Arnhem. Około 160 tys. mieszkańców.Klucz – w kryptografii informacja umożliwiająca wykonywanie pewnej czynności kryptograficznej – szyfrowania, deszyfrowania, podpisywania, weryfikacji podpisu itp.

    Claude Shannon sparafrazował tę zasadę jako "wróg zna system", a Bruce Schneier we wstępie do swojego podręcznika Applied Cryptography stawia pojęcie niejawności w opozycji do bezpieczeństwa:

    Kontrargumenty[]

    Choć poleganie wyłącznie na niejawności nie gwarantuje bezpieczeństwa, utrzymanie konstrukcji systemu w tajemnicy może być rozsądną taktyką realizującą jedną z warstw strategii obrony w głąb (z ang. defense in depth) i może redukować krótkoterminowe ryzyko wykorzystania luk systemu.

    The Cathedral and the Bazaar, często w skrócie CatB (pl. Katedra i bazar) – esej Erica Raymonda na temat sposobów tworzenia oprogramowania Open Source, oparty na jego obserwacjach powstawania jądra Linuksa oraz doświadczeniu związanym z koordynacją projektu Open Source o nazwie fetchmail.Honeypot (ang. honey – miód; pot – garniec) to w informatyce pułapka mająca na celu wykrycie prób nieautoryzowanego użycia systemu czy pozyskania danych. Najczęściej składa się z komputera, danych i wyodrębnionego obszaru sieci lokalnej, które udają prawdziwą sieć, lecz są odizolowane i odpowiednio zabezpieczone. Wszystko to z zewnątrz wygląda jakby zawierało informacje lub zasób, który mógłby być potencjalnym celem cyberprzestępcy. Systemy honeypot działają najczęściej pod kontrolą specjalistycznego oprogramowania. Istnieją zaawansowane wersje honeypotów przeznaczone dla ogromnych sieci będących własnością wielkich ISP, jak również w miarę proste systemy nadające się doskonale do ochrony małej sieci firmowej lub domowej. Te ostatnie mogą być z powodzeniem zainstalowane na domowym komputerze.

    Taktyka niejawności może również służyć do stworzenia honeypotu, który przyciągnie uwagę atakującego do nieistotnych części systemu oraz umożliwi poznanie źródeł i strategii ataków.

    Zobacz też[]

  • głębokie ukrycie
  • bezpieczeństwo teleinformatyczne
  • full disclosure
  • zaciemnianie kodu
  • Przypisy

    Procesor (ang. processor), także CPU (ang. Central Processing Unit) – urządzenie cyfrowe sekwencyjne, które pobiera dane z pamięci, interpretuje je i wykonuje jako rozkazy. Wykonuje on ciąg prostych operacji (rozkazów) wybranych ze zbioru operacji podstawowych określonych zazwyczaj przez producenta procesora jako lista rozkazów procesora.Głębokie ukrycie (zwane też zagłębieniem lub niejawną lokalizacją) - praktyka ochrony danych komputerowych, polegająca na umieszczeniu ich w nieprzewidywalnej i trudnej do odgadnięcia dla przeciętnego użytkownika ścieżce dostępu, zazwyczaj połączone z ukryciem faktu zapisania danych w tejże lokalizacji.



    w oparciu o Wikipedię (licencja GFDL, CC-BY-SA 3.0, autorzy, historia, edycja)

    Warto wiedzieć że... beta

    Zasada Kerckhoffsa – jedna z podstawowych zasad współczesnej kryptografii, sformułowana w XIX wieku przez holenderskiego kryptologa Augusta Kerckhoffsa. Zasada ta mówi, że system kryptograficzny powinien być bezpieczny nawet wtedy, gdy wszystkie szczegóły jego działania – oprócz klucza – są znane.
    Full disclosure (z ang. całkowita jawność) – pogląd, funkcjonujący wśród wielu hakerów zajmujących się zabezpieczeniami, mówiący, że opinia publiczna powinna poznawać wszystkie szczegóły dotyczące nowo odkrytych błędów zabezpieczeń w systemach teleinformatycznych; odwrotność doktryny security through obscurity praktykowanej szczególnie często w Internecie w latach 80. i 90.
    Poczta elektroniczna lub krótko e-poczta, (ang. electronic mail krótko e-mail) – usługa internetowa, w nomenklaturze prawnej określana zwrotem świadczenie usług drogą elektroniczną, służąca do przesyłania wiadomości tekstowych, tzw. listów elektronicznych – stąd zwyczajowa nazwa tej usługi.
    Eric Steven Raymond (ur. 4 grudnia 1957 w Bostonie) – amerykański haker i libertarianin, a zarazem jedna z czołowych postaci ruchu open source. Większą część życia spędził w Pensylwanii. Znany jest pod swymi inicjałami ESR.
    The Guardian – dziennik brytyjski o poglądach liberalno-lewicowych, przez wiele lat zbliżony do Partii Pracy, wydawany przez Guardian News & Media (część Guardian Media Group plc).
    Fetchmail jest narzędziem pozwalającym na ściągnięcie poczty elektronicznej z zewnętrznych serwerów POP3 lub IMAP na lokalne konto użytkownika w systemach uniksopodobnych. Autorem tego oprogramowania jest Eric S. Raymond. Fetchmail został użyty jako przykład modelu rozwoju oprogramowania open source w książce The Cathedral and the Bazaar. Fetchmail rozpowszechniany jest na licencji GNU GPL.
    NXP Semiconductors – holenderskie przedsiębiorstwo z siedzibą w Eindhoven zajmujące się produkcją półprzewodników.

    Reklama