+359 2 850 53 64

Сигурност чрез неизвестност

Новият метод за гарантиране на фирмената сигурност

Зад термина „Сигурност чрез неизвестност“ се крие вярването, че система от какъвто и да било вид, може да бъде защитена, стига никой извън групата на създателите й да не разбере нищо за вътрешните й механизми

Скриването на пароли в бинарни файлове или скриптове с идеята, че „никой, никога няма да ги намери“ е типичен пример за Сигурност чрез неизвестност.

Джей Бийл, главен софтуерен инженер в Bastille Linux Project е един от защитниците на идеята за защита на сигурността чрез неизвестност. Той казва, че чрез защита на компютърната ни система, ние караме атакуващия да вложи повече усилия, преди да успее да извърши атаката си. Това, разбира се, не значи че той е напълно възпрепятстван да пробие системата, но ни позволява да го наблюдаваме и ни осигурява повече време за действие.

Една система, която разчита на сигурност чрез неизвестност, може да има теоретични или реални недостатъци, но нейните създатели вярват, че ако тези недостатъци са неизвестни за потенциалните разбивачи на системата, те няма как да ги открият. Един от основните принципи на този вид сигурност е, че ако някой не знае как да направи нещо, което да повлияе на сигурността на системата, то той не е опасен.

Вярно, това звучи добре на теория, но може да Ви обвърже с това да трябва да се доверявате на малка група хора до края на живота си. А ако някой от служителите Ви, посветен в тайната напусне, тя си отива с него. Щом тайната излезе извън предела на фирмата, това е краят на Вашата сигурност.

Освен това, в днешно време има и по-голяма нужда за обикновения потребител да знае подробности за това как работи дадена система, от когато и да било. Много потребители днес имат задълбочени познания относно как работи дадена система и за тях е много по-лесно да „отгатнат“ това, което не бива да се знае. Това заобикаля основата, на която се гради сигурността чрез неизвестност, и така тя става безполезна.

Сигурността чрез неизвестност никога не е достигала инженерно приемане като подход за подсигуряване на една система, тъй като това противоречи на принципа на простотата. Националният институт на САЩ за стандарти и технологии (NIST), се обявява твърдо против сигурността чрез неизвестност, тъй като „сигурността на системата не трябва да зависи от тайната на нейните компоненти или функционирането им." В крайна сметка, както посочва Тони Брадли, главен анализатор в Bradly Strategy Group, в своята статия, посветена на Сигурността чрез неизвестност, „това, което отделя хакера от компютърния администратор са етичните принципи, не познанието“.

Новото решение за осигуряване на безопасност е да се създадат механизми, които се опитват да бъдат алгоритмично, тоест логически защитени (Kerberos, Secure RPC), а не само философски. Въпреки това Сигурността чрез неизвестност е философия, предпочитана от много бюрократични агенции (военни, правителствени и индустриални), които я използват като основен метод за осигуряване на сигурност в своите системи.

Курс по информационна сигурност за юридически лицаПовече...