Security through obscurity

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Security through Obscurity oder Security by Obscurity (auf deutsch „Sicherheit durch Obskurität“ oder auch „Sicherheit durch Unklarheit“) ist ein Prinzip in der Computer- und Netzwerksicherheit. Es versucht die Sicherheit eines Systems oder eines Verfahrens zu gewährleisten, indem seine Funktionsweise geheim gehalten wird.

Das Gegenkonzept dazu ist Sicherheit durch weitestgehende Transparenz, als Kerckhoffs’ Prinzip oder Full disclosure bezeichnet. Ausgehend von der Kryptologie wird hierbei vorgeschlagen, so wenig wie möglich geheim zu halten, um dieses dann umso leichter schützen und gegebenenfalls ersetzen zu können.[1]

Das Prinzip ist sehr umstritten, so rät das National Institute of Standards and Technology (NIST) Sicherheitssysteme nicht auf dieser Basis zu konzipieren: “System security should not depend on the secrecy of the implementation or its components.”[2]

Auf diesem Prinzip beruhende Systeme sind intransparent für dessen Anwender und damit wenig geeignet Vertrauen in Sicherheit zu schaffen: „Security by Obscurity ist ein Prinzip, das nicht nur ungeeignet als Sicherungsprinzip bleibt, es ist obendrein kundenfeindlich.“[3]

Hintergrund[Bearbeiten]

Hinterfragte Sicherheit, pauschale Zusicherung und spektakuläres Scheitern war bereits in der Frühzeit der Informations- und Kommunikationstechnik zu Beginn des 20. Jahrhunderts bekannt und mit Guglielmo Marconi verknüpft, dessen vermeintlich hochpräzise Funktechnik überraschend einfach von John Nevil Maskelyne missbraucht werden konnte, der eine unerwartete Herangehensweise wählte.[4]

Der Ausspruch des Informationstheoretikers Claude Shannon The enemy knows the system („Der Feind kennt das System“) ist ein Ansatzpunkt, von dem heute bei der Erstellung von Sicherheitskonzepten ausgegangen werden sollte. Sicherheit, die ausschließlich auf der Geheimhaltung oder Verschleierung von Verfahren beruht, hat sich oft als ungenügend herausgestellt. Als Ergänzung bestehender Sicherheitskonzepte kann sich Verschleierung jedoch als wirkungsvoll z. B. gegenüber automatisierten Angriffen erweisen.

Kryptographie beruht grundsätzlich darauf, dass die Entschlüsselung durch Geheimhaltung von Daten verhindert wird. Der Unterschied besteht darin, ob ein Schlüssel oder auch der verwendete Algorithmus geheim gehalten wird – denn sobald der Algorithmus für viele Dinge verwendet wird, ist er nicht mehr geheim, sondern weit verbreitet. Security by obscurity wäre dann der Versuch, Dinge geheim zu halten, die weite Verbreitung finden.

Ein starker Algorithmus wie z. B. der Advanced Encryption Standard erfordert aus der Sicht der reinen Kryptographie-Sicherheit keine Geheimhaltung des Verfahrens, sondern nur des Schlüssels. Die Kryptographie-Sicherheit beschäftigt sich mit der Sicherheit eines Verfahrens.

Gleichwohl werden immer wieder Verschlüsselungsalgorithmen geheim gehalten. Schließlich können durch deren Kenntnis die eventuellen Schwachstellen entdeckt werden, sodass sich erst später herausstellt, dass die Verschlüsselung nicht effektiv war. Ein Beispiel ist RC4, welcher sieben Jahre lang geheim gehalten wurde, bis 1994 der Quellcode anonym veröffentlicht wurde.

Auf diese Weise führt security by obscurity zu einem Verlust von Sicherheit, da wegen security by obscurity die vermeintlichen Sicherheitsmethoden nicht auf ihre Wirksamkeit überprüft, die unwirksamen Methoden nicht frühzeitig als solche verworfen werden.

Das sehr weit verbreitete Konzept von Passwörtern ist trotz der offensichtlichen Geheimhaltung meist keine security through obscurity: Man hält zwar ein Passwort geheim, um sicherzugehen, dass nur Befugte Zugang oder Zugriff haben, allerdings sind die (Passwort-)Eingabemaske und der verwendete Mechanismus (der Zugang erfolgt bei korrektem Passwort) im Regelfall bekannt.

Beispiele[Bearbeiten]

Schlüssel in einem Blumentopf
Ein Beispiel für die Nachteile des Prinzips wäre jemand, der den Schlüssel seiner Haustüre in einem Blumentopf versteckt, für den Fall, dass er sich aus dem Haus ausschließt. Der Schwachpunkt dieser Vorgehensweise ist offensichtlich: Jeder, der weiß, wo der Schlüssel versteckt ist, kann die Haustüre öffnen. Der Hauseigentümer nimmt an, dass niemand von dem Versteck weiß und auch ein Einbrecher den Schlüssel kaum finden würde. Die Sicherheit der Schließanlage wird hier irrelevant.
Ping „ignorieren“
Einige Hosts sind so konfiguriert, dass sie kein Gesuch um ein Echo erfüllen. Unbeachtet bleibt dabei, dass das Internet Control Message Protocol Rückmeldungen des Gateways vorsieht, wenn der hinter dem Gateway befindliche Host nicht erreichbar ist. Bleibt eine solche Rückmeldung aus, kann man daraus auf die Erreichbarkeit des Hosts schließen.[5]
Portscans „ignorieren“
Konfiguration einer Firewall, so dass Anfragen auf Ports still verworfen (DROP) statt ablehnend beantwortet (REJECT) werden.
Netzwerkdienste verstecken
Dienste wie die Secure Shell oder MySQL nicht auf ihren standardisierten Ports, sondern auf anderen Ports laufen lassen. Bei einem automatisierten Angriff mit der Frequenz von 50 Millisekunden auf dem Niveau einer Paketumlaufzeit im Internet dauert das Ausprobieren aller 65.535 Ports knapp eine Stunde. Übliche Portscanner wie Nmap unterstützen meist einen parallelen Angriff (Multithreading) auf die einzelnen Ports, dadurch lässt sich der Zeitaufwand ohne weiteres auf unter 5 Minuten verkürzen.
Ausgabe von Fehlinformationen
Die auf eingehende Verbindungen folgende reguläre Antwort ändern, beispielsweise Namen oder Versionsnummern der Programme, um Angreifern eine andere Software vorzugaukeln, die uninteressant ist. Dieses Verfahren verwenden auch Honeypots.
Closed-Source-Software
Wie sich Open Source und Closed Source unter dem Aspekt der Sicherheit verhalten, wird teilweise kontrovers diskutiert. Betriebssysteme mit öffentlich einsehbarem Quellcode wie BSD, OpenSolaris oder Linux profitieren davon, dass der Quelltext von vielen Programmierern durchgesehen wird und so auch Programmfehler gefunden werden. In diesem Zusammenhang wird oft Eric Raymond zitiert: “Given enough eyeballs, all bugs are shallow.” Auf eine generell größere Sicherheit von Open-Source-Software zu schließen, ist aber falsch. Wichtiger ist der Aspekt zugänglichen Quellcodes bei konkreten Algorithmen der Kryptographie.
E-Postbrief
In einem Interview mit dem Magazin CIO gab der Projektleiter des E-Postbriefs, Georg Rau, an: „Grundsätzlich gilt, dass wir hier bei uns keine Sicherheitslücke sehen. Mehr will ich nicht sagen. Denn ein wesentlicher Aspekt unseres Sicherheitskonzeptes ist: Wir reden in der Öffentlichkeit nicht darüber. Das ist Teil des Sicherheitskonzeptes.“[6]

Einzelnachweise[Bearbeiten]

  1.  Javier Galbally Herrero: Vulnerabilities and Attack Protection in Security Systems Based on Biometric Recognition. Universidad Autónoma de Madrid, November 2009, S. 7 (online, abgerufen am 14. Oktober 2012).
  2. Guide to General Server Security (PDF; 258 kB) National Institute of Standards and Technology. July 2008. Abgerufen am 2. Oktober 2011.
  3. Klartext: Ganz sicher? Nicht.. Heise Zeitschriften Verlag. 13. August 2013. Abgerufen am 28. November 2013.
  4. Frank Patalong: Drahtlos ratlos. Spiegel-Verlag. Abgerufen am 14. Oktober 2012.
  5. RFC 792 - Internet Control Message Protocol. Internet Engineering Task Force. September 1981. Abgerufen am 14. Oktober 2012.
  6. CIO Interview vom 25. August 2010, Exklusiv-Interview, Post wehrt sich gegen Kritik am E-Brief