Security through obscurity: Unterschied zwischen den Versionen
Zeile 60: | Zeile 60: | ||
* so wenig wie möglich geheim zu halten | * so wenig wie möglich geheim zu halten | ||
* um dieses dann umso leichter schützen | * um dieses dann umso leichter schützen | ||
* | * gegebenenfalls ersetzen zu können | ||
Version vom 1. November 2024, 13:16 Uhr
Security through obscurity - Sicherheit durch Verheimlichung
Beschreibung
- Geheimhaltung der Funktionsweise
Prinzip in der Computer- und Netzwerksicherheit
- Es versucht, die Sicherheit eines Systems oder eines Verfahrens zu gewährleisten, indem seine Funktionsweise geheim gehalten wird
- Security through obscurity
- Security by obscurity
- Sicherheit durch
- Verwirrung
- Unklarheit
- Dunkelheit
- Das Prinzip security through obscurity ist sehr umstritten
- So rät das National Institute of Standards and Technology (NIST), Sicherheitssysteme nicht auf dieser Basis zu konzipieren:
- "System security should not depend on the secrecy of the implementation or its components"
- Nachteile
Auf diesem Prinzip beruhende Systeme sind
- intransparent für dessen Anwender
- wenig geeignet, Vertrauen in Sicherheit zu schaffen
- „Security by Obscurity ist ein Prinzip, das nicht nur ungeeignet als Sicherungsprinzip bleibt, es ist obendrein kundenfeindlich.“
Beispiele
Beispiel | Beschreibung |
---|---|
Ping „ignorieren“ | Einige Hosts sind so konfiguriert, dass sie kein Gesuch um ein Echo erfüllen
|
Portscans „ignorieren“ | Konfiguration einer Firewall, so dass Anfragen auf Ports still verworfen (DROP) statt ablehnend beantwortet (REJECT) werden
|
Netzwerkdienste verstecken | Dienste wie die Secure Shell oder MySQL nicht auf ihren standardisierten Ports, sondern auf anderen Ports laufen lassen
|
Ausgabe von Fehlinformationen | Die auf eingehende Verbindungen folgende reguläre Antwort ändern, beispielsweise Namen oder Versionsnummern der Programme, um Angreifern eine andere Software vorzugaukeln, die uninteressant ist
|
Closed-Source-Software | Wie sich Open Source und Closed Source unter dem Aspekt der Sicherheit verhalten, wird teilweise kontrovers diskutiert
|
E-Postbrief | In einem Interview mit dem Magazin CIO gab der Projektleiter des E-Postbriefs, Georg Rau, an: „Grundsätzlich gilt, dass wir hier bei uns keine Sicherheitslücke sehen
|
Gegenkonzept
Sicherheit durch weitestgehende Transparenz
Ausgehend von der Kryptologie wird hierbei vorgeschlagen
- so wenig wie möglich geheim zu halten
- um dieses dann umso leichter schützen
- gegebenenfalls ersetzen zu können