Jump to content

Безопасность через неизвестность

Безопасность через неизвестность не должна использоваться как единственная функция безопасности системы.

В технике безопасности безопасность через неясность — это практика сокрытия деталей или механизмов системы для повышения ее безопасности. Этот подход основан на принципе сокрытия чего-либо на виду фокусника , сродни ловкости рук или использованию камуфляжа . Он отличается от традиционных методов безопасности, таких как физические замки, и больше ориентирован на сокрытие информации или характеристик для предотвращения потенциальных угроз. Примеры этой практики включают маскировку конфиденциальной информации в обычных предметах, таких как лист бумаги в книге, или изменение цифровых следов, например подделку номера версии веб-браузера. Хотя безопасность посредством скрытности не является самостоятельным решением, она может дополнять другие меры безопасности . в определенных сценариях [1]

Неясность в контексте техники безопасности — это представление о том, что информация может быть защищена в определенной степени, когда к ней трудно получить доступ или понять. Эта концепция основана на принципе сделать детали или работу системы менее видимыми или понятными, тем самым снижая вероятность несанкционированного доступа или манипуляций. [2]

История [ править ]

Одним из первых противников безопасности через безвестность был слесарь Альфред Чарльз Хоббс , который в 1851 году продемонстрировал публике, как можно вскрыть современные замки. В ответ на опасения, что обнаружение недостатков в конструкции замков может сделать их более уязвимыми для преступников, он сказал: «Мошенники очень увлечены своей профессией и уже знают гораздо больше, чем мы можем их научить». [3]

Официальной литературы по проблеме безопасности через неизвестность очень мало. В книгах по технике безопасности цитируется доктрина Керкхоффса 1883 года, если они вообще что-либо цитируют. Например, в дискуссии о секретности и открытости в ядерном командовании и управлении :

[T] Считалось, что выгоды от снижения вероятности случайной войны перевешивают возможные выгоды от секретности. Это современная реинкарнация доктрины Керкхоффса , впервые выдвинутой в девятнадцатом веке, согласно которой безопасность системы должна зависеть от ее ключа, а не от того, что ее конструкция остается неясной. [4]

Питер Свайр писал о компромиссе между представлением о том, что «безопасность через неизвестность — это иллюзия», и военным представлением о том, что « болваны топят корабли ». [5] а также о том, как конкуренция влияет на стимулы к раскрытию информации. [6] [ нужны дальнейшие объяснения ]

Существуют противоречивые истории о происхождении этого термина. Поклонники (ITS) MIT несовместимой системы разделения времени говорят, что она была придумана в противовес пользователям Multics , для которых безопасность была гораздо большей проблемой, чем для ITS. В культуре ITS этот термин самонасмешливо относился к плохому освещению документации и неясности многих команд, а также к отношению, согласно которому к тому времени, когда турист понимает, как создавать проблемы, он обычно преодолевает желание сделать это, потому что он чувствовал себя частью сообщества. Был отмечен один пример преднамеренной безопасности посредством неясности ITS: команда, позволяющая вносить исправления в работающую систему ITS (altmode altmode control-R), отображалась как $$^D. Набрав Alt Alt Control-D, вы установите флаг, который не позволит вносить исправления в систему, даже если позже пользователь все сделает правильно. [7]

В январе 2020 года NPR сообщило, что представители Демократической партии в Айове отказались поделиться информацией о безопасности своего приложения для собраний , чтобы «убедиться, что мы не передаем информацию, которая может быть использована против нас». Эксперты по кибербезопасности ответили, что «сокрытие технических подробностей приложения мало что дает для защиты системы». [8]

Критика [ править ]

Организация по стандартизации не поощряет и не рекомендует безопасность только за счет неясности. Национальный институт стандартов и технологий (NIST) в США не рекомендует такой практики: «Безопасность системы не должна зависеть от секретности реализации или ее компонентов». [9] В проекте «Перечисление общих слабостей» «Зависимость от безопасности через неизвестность» указана как CWE-656. [10]

Большое количество криптосистем в области телекоммуникаций и управления цифровыми правами используют защиту посредством скрытности, но в конечном итоге были взломаны. К ним относятся компоненты GSM , шифрование GMR , шифрование GPRS , ряд схем шифрования RFID и совсем недавно наземная транкинговая радиосвязь (TETRA). [11]

Одним из наиболее ярых сторонников безопасности посредством неизвестности, часто встречающихся сегодня, является программное обеспечение для защиты от вредоносных программ. обычно происходит в случае с этой единственной точкой отказа Однако гонка вооружений : злоумышленники находят новые способы избежать обнаружения, а защитники придумывают все более надуманные, но секретные сигнатуры, на которые можно обратить внимание. [12]

Этот метод контрастирует с безопасностью по замыслу и открытой безопасностью , хотя многие реальные проекты включают элементы всех стратегий.

в архитектуре техники против Неизвестность

Знание того, как построена система, отличается от сокрытия и камуфляжа . Эффективность скрытности в обеспечении безопасности операций зависит от того, существует ли скрытность поверх других передовых методов обеспечения безопасности или она используется отдельно. [13] При использовании в качестве независимого уровня скрытность считается действенным инструментом безопасности. [14]

В последние годы более продвинутые версии «безопасности через неизвестность» получили поддержку в качестве методологии кибербезопасности посредством защиты от движущихся целей и киберобмана . [15] Структура киберустойчивости NIST, 800-160 Volume 2, рекомендует использовать безопасность за счет скрытности как дополнительную часть устойчивой и безопасной вычислительной среды. [16]

См. также [ править ]

Ссылки [ править ]

  1. ^ Цвики, Элизабет Д.; Купер, Саймон; Чепмен, Д. Брент (26 июня 2000 г.). Создание интернет-брандмауэров: Интернет и веб-безопасность . «О'Рейли Медиа, Инк.». ISBN  978-0-596-55188-9 .
  2. ^ Селинджер, Эван и Харцог, Вудро, Неизвестность и конфиденциальность (21 мая 2014 г.). Routledge Companion to Philosophy of Technology (Джозеф Питт и Эшли Шью, ред., выйдет в свет в 2014 г.), доступно на SSRN: https://ssrn.com/abstract=2439866
  3. ^ Стросс, Рэндалл (17 декабря 2006 г.). «Театр абсурда в TSA» The New York Times . Архивировано из оригинала 8 декабря 2022 года . Проверено 5 мая 2015 г.
  4. ^ Андерсон, Росс (2001). Инженерия безопасности: Руководство по построению надежных распределенных систем . Нью-Йорк, штат Нью-Йорк: John Wiley & Sons, Inc., с. 240 . ISBN  0-471-38922-6 .
  5. ^ Свайр, Питер П. (2004). «Модель того, когда раскрытие информации помогает безопасности: чем отличается компьютерная и сетевая безопасность?». Журнал по праву в области телекоммуникаций и высоких технологий . 2 . ССНР   531782 .
  6. ^ Свайр, Питер П. (январь 2006 г.). «Теория раскрытия информации в целях безопасности и конкуренции: открытый исходный код, проприетарное программное обеспечение и государственные учреждения». Хьюстонский юридический обзор . 42 . ССНР   842228 .
  7. ^ «безопасность через неизвестность» . Файл жаргона . Архивировано из оригинала 29 марта 2010 г. Проверено 29 января 2010 г.
  8. ^ «Несмотря на опасения по поводу безопасности выборов, фракции Айовы будут использовать новое приложение для смартфонов» . NPR.org . Архивировано из оригинала 23 декабря 2022 г. Проверено 6 февраля 2020 г.
  9. ^ «Руководство по общей безопасности сервера» (PDF; 258 КБ) . Национальный институт стандартов и технологий. 01 июля 2008 г. Архивировано (PDF) из оригинала 9 августа 2017 г. Проверено 2 октября 2011 г.
  10. ^ «CWE-656: Уверенность в безопасности через неизвестность» . Корпорация МИТЕР. 18 января 2008 г. Архивировано из оригинала 28 сентября 2023 г. Проверено 28 сентября 2023 г.
  11. ^ Midnight Blue (август 2023 г.). ВСЕ ПОЛИЦЕЙСКИЕ ВЕЩАЮТ ТРАНСЛЯЦИЮ: Взлом TETRA после десятилетий в тени (слайд-шоу) (PDF) . Blackhat USA, 2023. Архивировано (PDF) из оригинала 11 августа 2023 г. Проверено 11 августа 2023 г.
    Карло Мейер; Воутер Бокслаг; Йос Ветцелс (август 2023 г.). Все менты вещают: TETRA под пристальным вниманием (бумага) (PDF) . Usenix Security 2023. Архивировано (PDF) из оригинала 11 августа 2023 г. Проверено 11 августа 2023 г.
  12. ^ КПМГ (май 2022 г.). «Игра в кошки-мышки по обходу антивируса» . Архивировано из оригинала 28 августа 2023 г. Проверено 28 августа 2023 г.
  13. ^ «Неизвестность — это надежный уровень безопасности», Дэниел Мисслер . Дэниел Мисслер . Архивировано из оригинала 8 декабря 2022 г. Проверено 20 июня 2018 г.
  14. ^ «Кибер-обман | CSIAC» . www.csiac.org . Архивировано из оригинала 20 апреля 2021 г. Проверено 20 июня 2018 г.
  15. ^ «ЦД-МТД» . Департамент внутренней безопасности . 25 июня 2013 г. Архивировано из оригинала 8 декабря 2022 г. Проверено 20 июня 2018 г.
  16. ^ Росс, Рон; Граубарт, Ричард; Бодо, Дебора; Маккуэйд, Розали (21 марта 2018 г.). Инженерия системной безопасности: соображения киберустойчивости для разработки надежных безопасных систем (отчет). Национальный институт стандартов и технологий. Архивировано из оригинала 06 декабря 2023 г. Проверено 5 апреля 2024 г.

Внешние ссылки [ править ]

Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 9ae947a65cbb88b9f2173bbda67097d7__1717675080
URL1:https://arc.ask3.ru/arc/aa/9a/d7/9ae947a65cbb88b9f2173bbda67097d7.html
Заголовок, (Title) документа по адресу, URL1:
Security through obscurity - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)