Ce este securitatea prin obscuritate?

Securitatea prin obscuritate este o filozofie care sugerează ofuscarea și secretul ca mijloc principal de asigurare a securității sistemului sau a informațiilor. Ipoteza de bază este că, dacă doar câțiva oameni de încredere înțeleg funcționarea unui sistem de securitate, sistemul este în general simplu. Unele metode utilizate în mod obișnuit pentru securitate prin obscuritate includ codificarea datelor sau crearea de informații proprietare prin protecția drepturilor de autor. Unii experți sugerează, totuși, că această metodă este pur și simplu o iluzie și poate face programele și sistemele de calculator mai vulnerabile la hackeri.

Principiul de bază al securității prin obscuritate este destul de simplu: dacă datele sunt păstrate secrete, nimeni din afara protecției secretului nu le poate găsi. Oarecum asemănător cu ascunderea banilor sub o saltea, acest concept funcționează admirabil atâta timp cât niciun adversar de neîncredere nu știe că banii sunt în saltea. Folosirea tehnicilor care ascund datele sau permițând doar persoanelor autorizate să acceseze codare sau algoritmi de securitate poate ajuta la protejarea cunoștințelor de a deveni publice și, astfel, de a fi deschise spre înfrângere.

Unele dintre metodele folosite pentru securitate prin obscuritate includ deghizarea datelor. De exemplu, dacă un fișier este numit „parole companiei”, acesta este vulnerabil la atacuri ușoare. Schimbarea numelor fișierelor în termeni inofensivi sau codați poate contribui la adăugarea unei mici măsuri de securitate. Metode similare pot include utilizarea codului ofuscat, care maschează informațiile protejate prin codificarea lor într-un format neobișnuit. O metodă comună include ascunderea faptului că un computer sau un server chiar există, permițând doar utilizatorilor desemnați să-l acceseze. Deoarece existența computerului este necunoscută, se speră în general că un hacker nu va ști să-l caute.

Tehnicile proprietare sunt mijloace comune de a proteja software-ul și sistemele de operare prin obscuritate. Limitând din punct de vedere legal și practic accesul la datele programului la persoanele desemnate, unii dezvoltatori de software speră să descurajeze hackeri și să sperie orice persoană care încearcă să expună informații de securitate. În unele cazuri, un utilizator poate descoperi în mod legitim o defecțiune de securitate și poate cere companiei să furnizeze un patch, doar pentru a primi amenințări cu acțiuni legale în cazul în care el sau ea expune defectul în fața publicului. În acest fel, un dezvoltator poate fi capabil să împiedice răspândirea cunoștințelor despre defectele de securitate, oferind astfel unele mijloace de protecție. Lucrătorii cărora li se încredințează informații de securitate pot fi, de asemenea, nevoiți să semneze acorduri de nedezvăluire, care le pot interzice legal să elibereze informații de securitate chiar și după ce părăsesc un loc de muncă.

În timp ce securitatea prin obscuritate poate fi utilă ca parte a unui sistem de securitate general, în sine, poate duce la vulnerabilități uluitoare. Utilizarea metodelor de obscuritate de bază, cum ar fi protecția fișierelor și a numelui de utilizator, poate funcționa cel mai bine atunci când este combinată cu metode precum protecția cu parolă și firewall-uri puternice. Unii experți în computere apreciază, de asemenea, valoarea securității transparente, sugerând că un sistem de securitate puternic, care este complet deschis utilizatorilor, înseamnă că punctele slabe vor fi detectate și protejate rapid.