Происхождение “безопасности с помощью сокрытия”
Популярное англоязычное понятие “security through obscurity” можно выражать на русском разными способами, например “безопасность через неизвестность”, или “безопасность с помощью незаметности”, или ещё как-то, главное, сохранить смысл концепции, в которой для обеспечения безопасности используется сокрытие некоторой информации о мерах защиты.
Сейчас традиционно пишут, что упомянутый принцип не работает. И это более или менее логично звучит для “математических” криптосистем, а в других случаях принято спорить. Но сейчас не об этом. Интересно, что все споры обсуловлены происхождением этой концепции. Вот есть такая вполне научная дисциплина: техническая (инженерно-техническая) защита информации. К этой области относятся и методы чисто физической защиты разных помещений, в которых находятся носители информации. Тут незаметность средств и методов защиты как раз повышает безопасность. Банальный пример: если реальный график обхода помещений сотрудниками охраны вывешен на видном месте, а рядом указана схема расположения датчиков различных сигнализаций – то задача по скрытному проникновению в защищаемое помещение сильно облегчается; значит, уровень обеспечения безопасности падает. Вот отсюда и растут корни концепции. Потому что физическая защита информации старше, чем “компьютерная”.
Адрес записки: https://dxdt.ru/2011/06/16/3807/
Похожие записки:
- Сорок лет Интернету
- ESNI - зашифрованное поле SNI
- Реплика: преодоление air gap
- Офтопик: продолжение про цвет собак в "Илиаде"
- "Внешний ИИ" масштаба Apple
- Удаление "неактивных" google-аккаунтов
- Симметричные ключи, аутентификация и стойкость в TLS
- Техническое: связь SCT-меток с логами Certificate Transparency
- Физика Аристотеля и падение тел - продолжение
- Обновление описания TLS
- "Блокирующие" источники случайности в операционных системах
Комментарии читателей блога: 7
1. 16th June 2011, 21:33 // Читатель зашел в гости написал:
“незаметность средств и методов защиты как раз повышает безопасность”
думаю, не столько незаметность, сколько неопределенность. Т.е. должно быть четко видно, что помещение хорошо охраняется, иначе иллюзия доступности будет лишь привлекать преступников.
2. 17th June 2011, 02:35 // Читатель sashket написал:
А есть и обратный подход. Например, муляжи видеокамер наблюдения.
3. 17th June 2011, 15:32 // Читатель Denter написал:
Корень отличия физической безопасности от информационной в том, что в физической практически невозможен взлом с помощью перебора. Потому там эта концепция работает.
4. 17th June 2011, 18:32 // Читатель jno написал:
Отсутствие графика на видном месте и схемы размещения камер повышает стоимость проникновения (ну, некоторых вариантов проникновения). Так что тут – всё правильно. И к “безопасности через неясность” это отношения не имеет. Классика “секурити сру обскурити” – это хранение денег в белье и книгах (типа, много однотипных “хранилищ” – сразу не найдут). Тогда как домушник просто методично и быстро перерывает все “хранилища” зная, что врядли ему придётся перерыть даже половину (эвристическую оптимизацию поиска никто не отменял)!
Из муляжей известна эффективностью “моргающая лампочка”, установленная ВМЕСТО автосигнализации.
5. 19th June 2011, 08:38 // Читатель Сергей написал:
Есть и более “хитрый” вариант – когда демонстративно вывешенный график обходов охраны и муляж видеокамеры используются в качестве маскировки реальных систем безопасности.
6. 23rd June 2011, 14:37 // Читатель Шурик написал:
должен заметить, что стеганография родом из той же корзинки: можете мне поверить на слово, но сокрытие самого факта наблюдения за объектом считается сильным плюсом в сторону сложившейся сб.
7. 23rd June 2011, 17:50 // Читатель jno написал:
Уж, поди, любое сокрытие информации о защищаемом объекте – плюс с т.з. безопасности.
Как известно, “абсолютно защищённая программа пользователя в себя не пускает”.