Archief - De topics van lang geleden

<b>Obscurity is a layer of security</b>

16-12-2004, 14:24 door Redactie, 17 reacties

Security through obscurity, ook wel security by obscurity genoemd, gaat ervan uit dat door het geheimhouden van ontwerp, implementatie etc. een systeem of programma veilig is. Een systeem dat van dit principe uitgaat kan lek zijn. De eigenaren of de ontwerpers hopen echter door het verborgen houden van informatie dat aanvallers niet achter mogelijke lekken zullen komen. Veel security experts vinden het een verwerpelijk principe omdat de veiligheid van het systeem volledig afhankelijk is van het verborgen houden van lekken. Als een lek bekend wordt, kan de veiligheid van het systeem makkelijk in gevaar worden gebracht. Nu is alleen het gebruik van security through obscurity niet aan te raden, maar het kan als onderdeel van de security zeker een toevoeging zijn. Onze stelling luidt derhalve: Obscurity is a layer of security

Reacties (17)
16-12-2004, 14:52 door Anoniem
dus een beetje 'wat niet weet, wat niet deert' met als
toevoeging 'wat niet weet, kan niet misbruikt worden'

Niet mee eens dat dit een juiste aanpak is, want wanneer
iemand een lek heeft gevonden en dit wil (en gaat)
misbruiken zou het dus ook verstandig zijn om dat lek voor
zichzelf te houden zodat hij het kan blijven misbruiken.

<kromme vergelijking mode on> de mistlampen in mijn auto
zitten er alleen voor de sier, maar dat is niet nodig om te
weten want ik woon op aruba en daar mist het nooit (bij
wijze van). Dan kom je er dus achter als het ineens wel gaat
misten en je geen mistlampen hebt.

Dit heeft de potentie om een leuke discussie te worden. Zou
dit ook een van de redenen zijn dat MS zo voorzichtig is met
haar geliefde broncode?

T
16-12-2004, 15:48 door Anoniem
Maar als je mijn IP niet weet kan je me ook niet gericht aanvallen.
16-12-2004, 16:10 door bustersnyvel
Zou dit ook een van de redenen zijn dat MS zo
voorzichtig is met haar geliefde broncode?

Yep. Het probleem met security by obscurity is dat je het
geheimhouden van een lek niet zelf in de hand hebt. Het is
hetzelfde als geheim houden waar je de sleutel van je
achterdeur hebt liggen. Dat werkt prima, totdat iemand de
sleutel vindt. Als die persoon dan het hele dorp gaat
vertellen waar jij je sleutel bewaart terwijl je 'm maar
eens per maand op een andere plek kan leggen, heb je een
probleem.
16-12-2004, 16:53 door Anoniem
Door Anoniem
Maar als je mijn IP niet weet kan je me ook niet gericht
aanvallen.

Hoe bedoel je dat? IP is gewoon te achterhalen. Ook als je
posts achterlaat op sites (zoals deze) Denk niet dat dit
bedoelt wordt in het verhaal.

T
16-12-2004, 17:00 door raboof
Obscurity (behalve van keys natuurlijk) mag nooit de reden
zijn dat een systeem veilig is. Heb je daarentegen al een
veilig systeem, dan is het niet altijd een slecht idee het
eventuele aanvallers nog moeilijker te maken door niet te
vertellen hoe het in elkaar zit.

Wat MS betreft: in hun stukken over de security van
open-source producten vinden ze het gebrek aan `obscurity'
heel relevant. Gaat het daarentegen over gelekte
Windows-broncode dan is er niets aan de hand ;).

Ze houden hun broncode natuurlijk niet alleen geheim ivm
security, maar vooral ook simpelweg zodat niemand hun code
jat :)
16-12-2004, 21:50 door [Account Verwijderd]
[Verwijderd]
17-12-2004, 00:54 door Anoniem
"Obscurity (behalve van keys natuurlijk)"

Natuurlijk. Dat is de grap juist, je gaat er van uit dat je
keys veilig zijn op een bepaalde manier door ze geheim te
houden. Vertel mij eens voor de gein: waar bewaar JIJ jouw
GPG keys? Waar bewaren de MEESTE mensen deze? Achten ze die
plek veilig?

Alles is uiteindelijk te kraken. Waar sla je wat op? Op een
cryptodisk, in je hoofd, op een zwaarbeveiligde computer, op
een floppy in een kluis. Echter, op de een of andere manier
zijn te toch te bemachtigen; TEMPEST, inbeslagnemen van de
computer, kraken van de zwaarbeveiligde server, dmv politie
(of andere overheidsdienst) toegang tot de keys af te
dwingen. Het moge duidelijk zijn dat deze methodes vaak
gebruikt worden door a) overheden, geheime diensten b)
andere professionele individuen of groepen. Moraal is dan
ook: elk security design heeft zwakke plekken. Deze negeren
of je ogen er voor sluiten is onverstandig. Je moet je
echter wel afvragen hoe belangrijk de informatie die je
beschermt is en wie er belang in heeft. Laten we stellen dat
er enorm veel onbelangrijke informatie versleuteld wordt
welke eigenlijk het niet waard is om te versleutelen terwijl
het versleutelen zwakke plekken heeft die makkelijk aan te
vallen zijn wanneer werkelijk nodig; het punt is, dat dat
niet nodig is in de meeste gevallen, omdat het om
onbelangrijke informatie gaat. Maar wanneer groep A of B
echt wil, dan kunnen ze de beveiliging doorbreken en dat is
iets waar zgn. 'security specialisten' blind voor zijn.
17-12-2004, 00:59 door Anoniem
Adendum: "Heb je daarentegen al een veilig systeem" <-
Veilig IS geen propositie. Iets veilig stellen is een
afweging die je maakt waarmee je risico's als zodanig miniem
stelt dat je er van uit gaat dat er niets mis kan gaan met
de integriteit. Echter, met veilig stellen moet je enorm
voorzichtig zijn en je moet analyseren wat je zwakke plekken
zijn. Keer op keer blijkt overigens maar weer, dat de mens
de zwakste schakel is in beveiliging.
17-12-2004, 01:08 door awesselius
Kijk, je kunt het op twee manieren ervaren. Obscurity voor beide partijen, of
enkel voor de onbekende partij, partij X oftewel een potentiele cracker.

Obscurity voor beide partijen houdt in, dat je zelf ook niet op de hoogte bent
van lekken en dat ook niet zo snel zal worden, omdat je er niet op wordt
gewezen. Eigenhandig op zoek gaan naar lekken, is in de praktijk
bewezen, een ondoenlijke zaak. Een uitzondering zoals OpenBSD daar
gelaten.

Jezelf dus afzijdig houden van het optimaliseren van je product voor alle
partijen is je kop in het zand steken.

Obscurity bewust inzetten als een security laag kan wel en wordt ook op
verschillende manieren toegepast. Netwerkmappings bijvoorbeeld, die
hang je ook niet op het prikbord (figuurlijk geschreven).

Hoeveel beheerders schakelen version announcing uit in bijv. Apache of
MySQL en meerdere applicaties? Zodoende zul je door fingerprinting door
bijv. nmap niet snel kunnen achterhalen welke services een server draait
of niet kunnen uitvinden welk OS en welke distributie/versie er op staat.

Standaard packages met default settings zoals Webmin, phpBB,
phpMyAdmin kunnen veel zeggen over de configuratie. De beheerder is
genoodzaakt niet alles default te laten, met oog op te ontdekken exploits
vroeg of laat. Laat dus niet aan iedereen weten dat je die services hebt
geinstalleerd.

Wie gebruikt tegenwoordig nog "finger" als daemon? Is dat nog zinvol om
te gebruiken op een server die aan het internet verbonden is?

En dan naamconventies, je noemt een mailserver niet zo snel "mail"
of "smtp" meer als je niet wilt dat derden zodoende makkelijk kunnen
uitvinden hoe je netwerk in elkaar zit.

Maar dit soort afschermingen zijn bewuste keuzes, dit is obscurity voor de
buitenstaander, terwijl de beheerder dondersgoed weet welke gegevens
vrij zijn en welke niet.

Ik denk dat de tweede manier van obscurity een stuk beter is. Weet welke
informatie er is op je netwerk/systeem, weet in hoeverre het bereikbaar is
en eventueel noodzakelijk bereikbaar moet zijn. Sluit de rest af en
installeer alleen dingen die noodzakelijk zijn.

Dat laatste is dus een minpunt voor Microsoft (helaas,;-), want je hebt daar
heel weinig controle over wat er geinstalleerd wordt en welke eenheden er
totaal niet nuttig zijn voor de functie van het te gebruiken systeem.

- Unomi -
17-12-2004, 01:15 door Anonniem
Door NielsT
Je kan security through obscurity zeker gebruiken, maar dan
inderdaad als een layer in je beveiliging, niet als de
beveiliging zelf.

Als ik bijvoorbeeld een ssh server heb die via het internet
toegangkelijk moet zijn, dan zou ik die op een andere poort
dan 22 kunnen zetten. Dit maakt de kans kleiner dat de ssh
server gevonden wordt in een portscan. Hij kan echter nog
wel gevonden worden, dus dit gebruiken als een excuus om
niet te patchen zou dom zijn.

Precies, het is geen excuus om af te zien van maatregelen maar wel een
zinvolle aanvulling om de kans verder te verkleinen.
17-12-2004, 02:02 door Anoniem
Security by obscurity kan en mag geen beleid zijn, in het allergunstigste
geval is obscurity een bij product van security. Let wel obscurity in je security
maakt ook security flaws obscuur.
17-12-2004, 08:48 door Anonniem
Door Anoniem
Security by obscurity kan en mag geen beleid zijn, in het allergunstigste
geval is obscurity een bij product van security. Let wel obscurity in je
security
maakt ook security flaws obscuur.

Is dat laatste zo? Ga je er dan vanuit dat je vrijwillige bijdragen krijgt om je
security te verbeteren als je volledige openheid geeft? Weegt het risico van
volledige openheid altijd op tegen de relatieve veiligheid van obscurity?
18-12-2004, 09:39 door raboof
Soort van gerelateerd: ik erger me er altijd mateloos aan
dat veel van die webapplicaties vrolijk tegen de
buitenwereld roepen: `Powered by X versie Y'.

Op die manier maak je Google wel een heel mooie tool voor
hackers. Ik bedoel, natuurlijk, je moet gewoon patchen en
recente versies van software draaien, maar van de daken
schreeuwen welke versie je precies gebruikt lijkt me toch
niet zo slim...
18-12-2004, 23:41 door Anoniem
Obscurity is ZEKER een layer van security. Ik vind dat niet
echt een stelling.. het is geen GOEDE beveiliging meestal,
maar het vermoeilijkt de zaken wel degelijk. Het is alleen
belangrijk dat het als dusdanig gezien wordt, dat men op de
hoogte is en ervan uit gaat dat het maar een geringe
veiligheid oplevert. Oftewel de veiligheid van het systeem
moet niet in z'n geheel afhangen van obscurity, maar is als
layer niet verkeerd.
20-12-2004, 11:23 door Anoniem
Obscurity is een dun laagje, niet meer, niet minder.

Typische problemen :
- blijkt vaak de enige bescherming te zijn
- is meestal tijdelijk van aard
- is maar al te vaak een aanwijzing van slechte security
(gebruik als dekmantel)
- Is meestal nog slecht geïmplementeerd ook, door de
obscurity naar diegenen die het systeem moeten beheren toe.
- Vaak een vorm van jobprotectie
21-12-2004, 10:23 door Anoniem
Obscurity is zeker een manier van beveiligen. Kijk maar naar
allerlei militaire organisaties.

Wat deze organisaties heel goed weten, is dat het niet je
enige layer of defence kan en mag zijn. Daarom hebben al die
militaire organisaties allerlei andere maatregelen genomen
bovenop obscurity.
21-12-2004, 10:40 door Anoniem
een heeeeeeeeel dun laagje, zo dun dat je hem beter helemaal
niet kan hebben
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.