Security through obscurity: Unterschied zwischen den Versionen
Zeile 3: | Zeile 3: | ||
== Beschreibung == | == Beschreibung == | ||
; Geheimhaltung der Funktionsweise | ; Geheimhaltung der Funktionsweise | ||
Prinzip in der [[Computersicherheit|Computer-]] und [[Netzwerksicherheit]] | * Prinzip in der [[Computersicherheit|Computer-]] und [[Netzwerksicherheit]] | ||
* Es versucht, die Sicherheit eines Systems oder eines Verfahrens zu gewährleisten, indem seine Funktionsweise geheim gehalten wird | * Es versucht, die Sicherheit eines Systems oder eines Verfahrens zu gewährleisten, indem seine Funktionsweise geheim gehalten wird | ||
* ''Security through obscurity'' | * ''Security through obscurity'' |
Version vom 1. November 2024, 13:22 Uhr
Security through obscurity - Sicherheit durch Verheimlichung
Beschreibung
- Geheimhaltung der Funktionsweise
- Prinzip in der Computer- und Netzwerksicherheit
- Es versucht, die Sicherheit eines Systems oder eines Verfahrens zu gewährleisten, indem seine Funktionsweise geheim gehalten wird
- Security through obscurity
- Security by obscurity
- Sicherheit durch
- Verwirrung
- Unklarheit
- Dunkelheit
- security through obscurity ist NICHT empfohlen
National Institute of Standards and Technology (NIST) rät Sicherheitssysteme nicht auf dieser Basis zu konzipieren
- "System security should not depend on the secrecy of the implementation or its components"
- Nachteile
Auf diesem Prinzip beruhende Systeme sind
- intransparent für dessen Anwender
- wenig geeignet, Vertrauen in Sicherheit zu schaffen
- „Security by Obscurity ist ein Prinzip, das nicht nur ungeeignet als Sicherungsprinzip bleibt, es ist obendrein kundenfeindlich.“
Beispiele
Beispiel | Beschreibung |
---|---|
Ping „ignorieren“ | Einige Hosts sind so konfiguriert, dass sie kein Gesuch um ein Echo erfüllen
|
Portscans „ignorieren“ | Konfiguration einer Firewall, so dass Anfragen auf Ports still verworfen (DROP) statt ablehnend beantwortet (REJECT) werden
|
Netzwerkdienste verstecken | Dienste wie die Secure Shell oder MySQL nicht auf ihren standardisierten Ports, sondern auf anderen Ports laufen lassen
|
Ausgabe von Fehlinformationen | Die auf eingehende Verbindungen folgende reguläre Antwort ändern, beispielsweise Namen oder Versionsnummern der Programme, um Angreifern eine andere Software vorzugaukeln, die uninteressant ist
|
Closed-Source-Software | Wie sich Open Source und Closed Source unter dem Aspekt der Sicherheit verhalten, wird teilweise kontrovers diskutiert
|
E-Postbrief | In einem Interview mit dem Magazin CIO gab der Projektleiter des E-Postbriefs, Georg Rau, an: „Grundsätzlich gilt, dass wir hier bei uns keine Sicherheitslücke sehen
|
Gegenkonzept
Sicherheit durch weitestgehende Transparenz
Ausgehend von der Kryptologie wird hierbei vorgeschlagen
- so wenig wie möglich geheim zu halten
- um dieses dann umso leichter schützen
- gegebenenfalls ersetzen zu können