Security through Obscurity
Freitag, 2. September 2011 | Autor: Nico
Security, also Sicherheit vor Angriffen aller Art, ist nicht leicht zu erreichen.
Ein Begriff, der im Kontext von IT-Security recht bekannt ist, ist Security through Obscurity. Damit meint man (angebliche) Sicherheit, die darauf basiert, dass potentielle Angreifer bestimmte Dinge hoffentlich nicht wissen oder können. Solche „Sicherheit” ist keine Sicherheit.
Beispiel 1:
Geheime Informationen auf einer Website, die prinzipiell jeder abrufen kann, aber niemand kennt die URL.
URLs und Pfade allgemein sind nicht dafür entworfen worden, geheim zu sein. Man hat keinerlei Garantie, dass nicht aus irgend einem Software-Fehler heraus der Verzeichnisbaum des Webspace bekannt wird oder ein Angreifer eine Lücke findet, um selber in diesem Verzeichnisbaum herumzustöbern. Zumal der Webspace-Provider den Verzeichnisbaum einsehen kann!
Beispiel 2:
Den Code des eigenen Systems geheim halten, damit niemand weiß, ob und welche Schwachstellen existieren.
Jedes Programm, dass man einem Kunden in die Hand drückt, kann von diesem auch reverse-engineered werden, sodass er als Angreifer weiß was passiert und Schwachstellen findet. Das dauert unter Umständen sehr lang und ist aufwendig - aber es geht! Außerdem braucht man oft den Code gar nicht zu kennen, sondern probiert einfach ein paar übliche Schwachstellen aus.
Beispiel 3:
Ein Behördenmitarbeiter transportiert Daten persönlich in einem Laptop von einer Behörde zur nächsten.
Die Hoffnung hier ist, dass ja niemand weiß, dass genau der Mitarbeiter die Daten hat. Abgesehen davon, dass es wahrscheinlich schon innerhalb der Behörde jeder weiß, der es wissen will: Was, wenn der Laptop geklaut wird?
Passwörter
Sind Passwörter dann nicht auch Security through Obscurity? Nein. Passwortbasierte Systeme sind explizit darauf ausgelegt, bestimmte Sicherheitsgarantien zu bieten. In solchen Systemen muss man nicht auf Geheimhaltung hoffen, sondern weiß, dass niemand diese Barriere überwinden kann bzw. ein bestimmter wohldefinierter Schwierigkeitsgrad gegeben ist.
Das Entscheidende Problem bei Security through Obscurity ist, dass es nahezu immer eine Menge unklarer Eventualitäten gibt, unter denen die Sicherheit zerstört werden kann. Man hofft nur oder nimmt an, dass es nicht passiert, dass der Angreifer nicht clever genug ist.
Der Übergang ist fließend und es kommt immer auch darauf an, was man geheim halten will - Omas Keksrezept? Die Freigabecodes für die Atomraketen? Je nachdem tut’s eben auch schon eine geheime URL.
Wikileaks vs Guardian
Der Grund, weshalb ich diesen Artikel heute schreibe ist Wikileaks. Der Guardian hat das Passwort für das Cable-Gate-Archiv in einem Buch abgedruckt. Er hat dabei einfach angenommen, dass das Passwort ohnehin nicht mehr aktuell sei und dass niemand die Datei findet. Security through Obscurity vom Feinsten: Der Guardian weiß nichts darüber, ob die Veröffentlichung des Passworts problematisch ist, aber er macht es trotzdem - aus Hoffnung, dass es schon irgendwie okay sein wird vermutlich. Es ist ja sicher, weil niemand die Datei kennt! Nur blöd, dass Dateinamen viel weniger geheim sind und - Überraschung! - es gibt durchaus Leute, die Zugang zur Datei haben!
Kann man von Journalisten erwarten, dass sie die Security-Probleme einschätzen können, die durch ihr Handeln in Kombination mit Wikileaks’ verschlüsselten Backups erwachsen?
Vielleicht nicht.
Aber in dem Fall sollte man erwarten, dass sie anderer Leute Passwörter nicht in Büchern abdrucken.