Zum Inhalt springen

Security through obscurity

aus Wikipedia, der freien Enzyklopädie
Dies ist eine alte Version dieser Seite, zuletzt bearbeitet am 6. September 2003 um 00:57 Uhr durch Diddi (Diskussion | Beiträge) (erw). Sie kann sich erheblich von der aktuellen Version unterscheiden.


Security through obscurity oder security by obscurity (engl. "Sicherheit durch Unklarheit") bezeichnet ein Prinzip in der Computer- und Netzwerksicherheit, nach dem versucht wird, Sicherheit durch Geheimhaltung zu erreichen.

The enemy knows the system. -- Claude Shannon

"Der Feind kennt das System", das ist der Ansatzpunkt, von dem man bei der Erstellung von Sicherheitskonzepten ausgehen sollte. Es hilft deshalb wenig, wenn man die Sicherheit nur auf der Geheimhaltung von Informationen aufbaut.

Beispiele

Häufig wird security through obscurity von unwissenden Benutzern dilletantisch angewendet:

Portscans "ignorieren": Einige Software wie Personal Firewalls melden Portscans fälschlicherweise oft als böswilligen Angriff. Viele Benutzer konfigurieren ihre Personal Firewall deshalb so, dass Anfragen auf Ports ignoriert (DENY) anstatt beantwortet werden (REJECT) und hoffen so unsichtbar im Internet zu sein. Das ist allerdings unsinnig, weil dadurch legitime Benutzer und Server behindert werden.

ping "ignorieren": Einige Hosts sind aus den gleichen Gründen wie bei Portscans so konfiguriert, dass sie ICMP Pakete ignorieren und verwerfen. Das erhoffte Unsichtbar-Sein ist allerdings ebenfalls ein Trugschluss. Ist man nämlich tatsächlich nicht online, bekommt man von einem Router ein ICMP Destination unreachable als Antwort. Das heißt bekommt man überhaupt keine Antwort, weiß man dass der Computer online ist, aber nicht antwortet.

Andere Beispiele:

IP-Adressen "verbergen": Mit NAT oder Masquerading lässt sich die interne Netzwerkstruktur nach aussen hin verbergen.

Closed Source-Software Wie sich Open Source und Closed Source unter dem Aspekt der Sicherheit verhalten, ist sehr umstritten. Linux zum Beispiel profitiert davon, dass der Quelltext von unzähligen Programmierern durchgesehen wird und so auch Programmfehler gefunden werden.

In diesem Zusammenhang wird oft Linus' Law zitiert (ursprünglich von Eric Raymond):

Given enough eyeballs, all bugs are shallow.

Passwörter: Das sehr weit verbreitet Konzept von Passwörtern ist in einem gewissen Sinn auch security through obscurity: Man hält ein Passwort geheim, um sicher zu gehen, dass nur Befugte Zugang oder Zugriff auf Etwas haben.

Dieses Konzept besteht aus den zwei Teilen Passwort und (Passwort-)Eingabemaske, die einander bedingen. Wenn man annimmt, dass man beide Komponenten tatsächlich geheimhalten könnte, wäre das Passwort-Konzept ad absurdum geführt. Man spricht deshalb nur dann von security through obscurity, wenn versucht wird, beide Komponenten geheimzuhalten.

Abgerufen von „https://de.wikipedia.org/w/index.php?title=Security_through_obscurity&oldid=280862