Безопасность через неизвестность

В технике безопасности безопасность через неясность — это практика сокрытия деталей или механизмов системы для повышения ее безопасности. Этот подход основан на принципе сокрытия чего-либо на виду фокусника , сродни ловкости рук или использованию камуфляжа . Он отличается от традиционных методов безопасности, таких как физические замки, и больше ориентирован на сокрытие информации или характеристик для предотвращения потенциальных угроз. Примеры такой практики включают сокрытие конфиденциальной информации в обычных предметах, таких как лист бумаги в книге, или изменение цифровых следов, например подделку номера версии веб-браузера . Хотя безопасность посредством скрытности не является самостоятельным решением, она может дополнять другие меры безопасности . в определенных сценариях ^[1]

Неясность в контексте техники безопасности — это представление о том, что информация может быть защищена в определенной степени, когда к ней трудно получить доступ или понять. Эта концепция основана на принципе сделать детали или работу системы менее видимыми или понятными, тем самым снижая вероятность несанкционированного доступа или манипуляций. ^[2]

История

Одним из первых противников безопасности через безвестность был слесарь Альфред Чарльз Хоббс , который в 1851 году продемонстрировал публике, как можно вскрыть современные замки. В ответ на опасения, что обнаружение недостатков безопасности в конструкции замков может сделать их более уязвимыми для преступников, он сказал: «Мошенники очень увлечены своей профессией и уже знают гораздо больше, чем мы можем их научить». ^[3]

Официальной литературы по проблеме безопасности через неизвестность очень мало. В книгах по технике безопасности цитируется доктрина Керкхоффса 1883 года, если они вообще что-либо цитируют. Например, в дискуссии о секретности и открытости в ядерном командовании и контроле :

[T] Считалось, что выгоды от снижения вероятности случайной войны перевешивают возможные выгоды от секретности. Это современная реинкарнация доктрины Керкхоффса, впервые выдвинутой в девятнадцатом веке, согласно которой безопасность системы должна зависеть от ее ключа, а не от того, что ее конструкция остается неясной. ^[4]

Питер Свайр писал о компромиссе между представлением о том, что «безопасность через неизвестность — это иллюзия» и военным представлением о том, что « болваны топят корабли ». ^[5] а также о том, как конкуренция влияет на стимулы к раскрытию информации. ^[6]^{[ нужны дальнейшие объяснения ]}

Существуют противоречивые истории о происхождении этого термина. Поклонники (ITS) MIT несовместимой системы разделения времени говорят, что она была придумана в противовес пользователям Multics , для которых безопасность была гораздо большей проблемой, чем для ITS. В культуре ITS этот термин насмешливо относился к плохому освещению документации и неясности многих команд, а также к отношению, согласно которому к тому времени, когда турист понимает, как создавать проблемы, он обычно преодолевает желание сделать это, потому что он чувствовал себя частью сообщества. Был отмечен один случай преднамеренной безопасности посредством неясности ITS: команда, позволяющая вносить исправления в работающую систему ITS (altmode altmode control-R), отображалась как $$^D. Набрав Alt Alt Control-D, вы установите флаг, который не позволит вносить исправления в систему, даже если позже пользователь все сделает правильно. ^[7]

В январе 2020 года NPR сообщило, что представители Демократической партии в Айове отказались поделиться информацией о безопасности своего приложения для собраний , чтобы «убедиться, что мы не передаем информацию, которая может быть использована против нас». Эксперты по кибербезопасности ответили, что «сокрытие технических подробностей приложения мало что дает для защиты системы». ^[8]

Критика

Организация по стандартизации не поощряет и не рекомендует безопасность только за счет неясности. Национальный институт стандартов и технологий (NIST) в США не рекомендует такой практики: «Безопасность системы не должна зависеть от секретности реализации или ее компонентов». ^[9] В проекте «Перечисление общих слабостей» «Зависимость от безопасности через неизвестность» указана как CWE-656. ^[10]

Большое количество криптосистем в области телекоммуникаций и управления цифровыми правами используют защиту посредством скрытности, но в конечном итоге были взломаны. К ним относятся компоненты GSM , шифрование GMR , шифрование GPRS , ряд схем шифрования RFID и, совсем недавно, наземная транковая радиосвязь (TETRA). ^[11]

Одним из наиболее ярых сторонников безопасности посредством неизвестности, который сегодня часто встречается, является программное обеспечение для защиты от вредоносных программ. обычно происходит в случае с этой единственной точкой отказа Однако гонка вооружений : злоумышленники находят новые способы избежать обнаружения, а защитники придумывают все более надуманные, но секретные сигнатуры, на которые можно обратить внимание. ^[12]

Этот метод контрастирует с безопасностью по замыслу и открытой безопасностью , хотя многие реальные проекты включают элементы всех стратегий.

Неизвестность в архитектуре против техники

Знание того, как построена система, отличается от сокрытия и камуфляжа . Эффективность скрытности в обеспечении безопасности операций зависит от того, существует ли скрытность поверх других передовых методов обеспечения безопасности или она используется отдельно. ^[13] При использовании в качестве независимого уровня скрытность считается действенным инструментом безопасности. ^[14]

В последние годы более продвинутые версии «безопасности через неизвестность» получили поддержку в качестве методологии кибербезопасности посредством защиты от движущихся целей и киберобмана . ^[15] Структура киберустойчивости NIST, 800-160, том 2, рекомендует использовать безопасность посредством скрытности в качестве дополнительной части устойчивой и безопасной вычислительной среды. ^[16]

См. также

Ссылки

^ Цвикки, Элизабет Д.; Купер, Саймон; Чепмен, Д. Брент (26 июня 2000 г.). Создание интернет-брандмауэров: Интернет и веб-безопасность . «О'Рейли Медиа, Инк.». ISBN 978-0-596-55188-9 .
^ Селинджер, Эван и Харцог, Вудро, Неизвестность и конфиденциальность (21 мая 2014 г.). Routledge Companion to Philosophy of Technology (Джозеф Питт и Эшли Шью, ред., скоро выйдет в 2014 г.), доступно на SSRN: https://ssrn.com/abstract=2439866
^ Стросс, Рэндалл (17 декабря 2006 г.). «Театр абсурда в TSA» The New York Times . Архивировано из оригинала 8 декабря 2022 года . Проверено 5 мая 2015 г.
^ Андерсон, Росс (2001). Инженерия безопасности: Руководство по построению надежных распределенных систем . Нью-Йорк, штат Нью-Йорк: John Wiley & Sons, Inc., с. 240 . ISBN 0-471-38922-6 .
^ Свайр, Питер П. (2004). «Модель того, когда раскрытие информации помогает безопасности: чем отличается компьютерная и сетевая безопасность?». Журнал по праву в области телекоммуникаций и высоких технологий . 2 . ССНР 531782 .
^ Свайр, Питер П. (январь 2006 г.). «Теория раскрытия информации в целях безопасности и конкуренции: открытый исходный код, проприетарное программное обеспечение и государственные учреждения». Хьюстонский юридический обзор . 42 . ССНР 842228 .
^ «безопасность через неизвестность» . Файл жаргона . Архивировано из оригинала 29 марта 2010 г. Проверено 29 января 2010 г.
^ «Несмотря на опасения по поводу безопасности выборов, фракции Айовы будут использовать новое приложение для смартфонов» . NPR.org . Архивировано из оригинала 23 декабря 2022 г. Проверено 6 февраля 2020 г.
^ «Руководство по общей безопасности сервера» (PDF; 258 КБ) . Национальный институт стандартов и технологий. 01 июля 2008 г. Архивировано (PDF) из оригинала 9 августа 2017 г. Проверено 2 октября 2011 г.
^ «CWE-656: Уверенность в безопасности через неизвестность» . Корпорация МИТЕР. 18 января 2008 г. Архивировано из оригинала 28 сентября 2023 г. Проверено 28 сентября 2023 г.
^ Midnight Blue (август 2023 г.). ВСЕ ПОЛИЦЕЙСКИЕ ВЕЩАЮТ ТРАНСЛЯЦИЮ: Взлом TETRA после десятилетий в тени (слайд-шоу) (PDF) . Blackhat USA, 2023. Архивировано (PDF) из оригинала 11 августа 2023 г. Проверено 11 августа 2023 г.
Карло Мейер; Воутер Бокслаг; Йос Ветцелс (август 2023 г.). Все менты вещают: TETRA под пристальным вниманием (бумага) (PDF) . Usenix Security 2023. Архивировано (PDF) из оригинала 11 августа 2023 г. Проверено 11 августа 2023 г.
^ КПМГ (май 2022 г.). «Игра в кошки-мышки по обходу антивируса» . Архивировано из оригинала 28 августа 2023 г. Проверено 28 августа 2023 г.
^ «Неизвестность — надежный уровень безопасности», Дэниел Мисслер . Дэниел Мисслер . Архивировано из оригинала 8 декабря 2022 г. Проверено 20 июня 2018 г.
^ «Кибер-обман | CSIAC» . www.csiac.org . Архивировано из оригинала 20 апреля 2021 г. Проверено 20 июня 2018 г.
^ «ЦД-МТД» . Департамент внутренней безопасности . 25 июня 2013 г. Архивировано из оригинала 8 декабря 2022 г. Проверено 20 июня 2018 г.
^ Росс, Рон; Граубарт, Ричард; Бодо, Дебора; Маккуэйд, Розали (21 марта 2018 г.). Инженерия системной безопасности: соображения киберустойчивости при разработке надежных безопасных систем (отчет). Национальный институт стандартов и технологий. Архивировано из оригинала 06 декабря 2023 г. Проверено 5 апреля 2024 г.

Внешние ссылки

Эрик Рэймонд о «выпуске» исходного кода IOS от Cisco v Open Source
Публикации по компьютерной безопасности: информационная экономика, перекладывание ответственности и первая поправка Итана М. Престона и Джона Лофтона
«Безопасность через неизвестность» - это не то, что думают в Wayback Machine (архивировано 2 февраля 2007 г.), Джей Бил.
Секретность, безопасность и неизвестность и незащищенность секретности Брюс Шнайер
«Безопасность через устаревание», Робин Миллер, linux.com , 6 июня 2002 г.

[1] Цвикки, Элизабет Д.; Купер, Саймон; Чепмен, Д. Брент (26 июня 2000 г.). Создание интернет-брандмауэров: Интернет и веб-безопасность . «О'Рейли Медиа, Инк.». ISBN 978-0-596-55188-9 .

[2] Селинджер, Эван и Харцог, Вудро, Неизвестность и конфиденциальность (21 мая 2014 г.). Routledge Companion to Philosophy of Technology (Джозеф Питт и Эшли Шью, ред., скоро выйдет в 2014 г.), доступно на SSRN: https://ssrn.com/abstract=2439866

[3] Стросс, Рэндалл (17 декабря 2006 г.). «Театр абсурда в TSA» The New York Times . Архивировано из оригинала 8 декабря 2022 года . Проверено 5 мая 2015 г.

[4] Андерсон, Росс (2001). Инженерия безопасности: Руководство по построению надежных распределенных систем . Нью-Йорк, штат Нью-Йорк: John Wiley & Sons, Inc., с. 240 . ISBN 0-471-38922-6 .

[5] Свайр, Питер П. (2004). «Модель того, когда раскрытие информации помогает безопасности: чем отличается компьютерная и сетевая безопасность?». Журнал по праву в области телекоммуникаций и высоких технологий . 2 . ССНР 531782 .

[6] Свайр, Питер П. (январь 2006 г.). «Теория раскрытия информации в целях безопасности и конкуренции: открытый исходный код, проприетарное программное обеспечение и государственные учреждения». Хьюстонский юридический обзор . 42 . ССНР 842228 .

[7] «безопасность через неизвестность» . Файл жаргона . Архивировано из оригинала 29 марта 2010 г. Проверено 29 января 2010 г.

[8] «Несмотря на опасения по поводу безопасности выборов, фракции Айовы будут использовать новое приложение для смартфонов» . NPR.org . Архивировано из оригинала 23 декабря 2022 г. Проверено 6 февраля 2020 г.

[9] «Руководство по общей безопасности сервера» (PDF; 258 КБ) . Национальный институт стандартов и технологий. 01 июля 2008 г. Архивировано (PDF) из оригинала 9 августа 2017 г. Проверено 2 октября 2011 г.

[10] «CWE-656: Уверенность в безопасности через неизвестность» . Корпорация МИТЕР. 18 января 2008 г. Архивировано из оригинала 28 сентября 2023 г. Проверено 28 сентября 2023 г.

[11] Midnight Blue (август 2023 г.). ВСЕ ПОЛИЦЕЙСКИЕ ВЕЩАЮТ ТРАНСЛЯЦИЮ: Взлом TETRA после десятилетий в тени (слайд-шоу) (PDF) . Blackhat USA, 2023. Архивировано (PDF) из оригинала 11 августа 2023 г. Проверено 11 августа 2023 г.
Карло Мейер; Воутер Бокслаг; Йос Ветцелс (август 2023 г.). Все менты вещают: TETRA под пристальным вниманием (бумага) (PDF) . Usenix Security 2023. Архивировано (PDF) из оригинала 11 августа 2023 г. Проверено 11 августа 2023 г.

[12] КПМГ (май 2022 г.). «Игра в кошки-мышки по обходу антивируса» . Архивировано из оригинала 28 августа 2023 г. Проверено 28 августа 2023 г.

[13] «Неизвестность — надежный уровень безопасности», Дэниел Мисслер . Дэниел Мисслер . Архивировано из оригинала 8 декабря 2022 г. Проверено 20 июня 2018 г.

[14] «Кибер-обман | CSIAC» . www.csiac.org . Архивировано из оригинала 20 апреля 2021 г. Проверено 20 июня 2018 г.

[15] «ЦД-МТД» . Департамент внутренней безопасности . 25 июня 2013 г. Архивировано из оригинала 8 декабря 2022 г. Проверено 20 июня 2018 г.

[16] Росс, Рон; Граубарт, Ричард; Бодо, Дебора; Маккуэйд, Розали (21 марта 2018 г.). Инженерия системной безопасности: соображения киберустойчивости при разработке надежных безопасных систем (отчет). Национальный институт стандартов и технологий. Архивировано из оригинала 06 декабря 2023 г. Проверено 5 апреля 2024 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]