«Безопасность через неясность». Объект - сейф
29.08.2014Информационный дайджест №6
Термин «безопасность через неясность» (англ. Security through obscurity) хорошо известен специалистам в области обеспечения безопасности. Данный подход используется в многочисленных сфера деятельности, решениях и продуктах. Сейфы не стали исключением. Говоря простыми словами, принцип «безопасность через неясность» заключается в том, чтобы скрыть внутреннее устройство системы или реализацию этой системы для обеспечения безопасности. Таким образом, считается, что, если система имеет неизвестные уязвимые места, то злоумышленник не сможет их обнаружить.
У подхода «безопасность через неясность» есть свои преимущества и недостатки. Так, чем больше слабых мест в системе, тем выше вероятность, что кто-то этими слабыми местами воспользуется. Если усилия, необходимые для определения этих слабых мест, ниже, чем усилия, нужные для взлома всей системы, то такая система является менее безопасной.
Приведём несколько примеров с сейфами. Если вы прячете ключ от сейфа в письменном шкафу, то ворам гораздо эффективнее найти ключ, нежели взламывать сейф. Предположим, что ключ был спрятан в письменном столе, где грабители будут искать в первую очередь. Таким образом, ценности в сейфе становятся еще более простой добычей для воров.
Есть и другой пример неудачного использования «безопасности через неясность» при использовании сейфов, а точнее тайников. Так, один из владельцев тайника, выполненного в виде обычно банки (см. Изображение), признался, что был доволен тайником и хранил банку-тайник в холодильнике до тех пор, пока кто-то из семьи не решил почистить холодильник и не выкинул банку, как мусор. Получается, что безопасность была нарушена не грабителем, а случайным, ничего не подозревающим человеком.
Эксперты по безопасности пришли к выводу, что «безопасность через неясность» не должна является единственным подходом в защите ценностей. Но использовать это подход всё-таки нужно. Во многом это относится и к сейфам. Так, в магазине Шифр мы предлагаем анонимную доставку сейфов, чтобы ваши соседи не узнали, что вам был доставлен сейф. Советуем также не распространятся на тему того, какой именно сейф Вы приобрели, с каким замком, как и где сейф установлен.
С другой стороны, не стоит слишком сильно надется на то, что грабители не смогут найти досточно информации, как взломать Вашу модель сейфа или замка. В условиях нашего информационного общества информация или знания становятся основным ресурсом и ценностью. А значит, есть желающие выгодно продать такую информацию. Имея данные о модели сейфа, медвежатникам будет легче взломать сейф или взломать замок. Принцип «безопасность через неясность» по-прежнему широко используется производителями сейфов и сейфовых замоков. К сожалению, это не всегда играет на руку уровню обеспечения безопасности. Это хорошо доказал в своей работе "Вскрытие сейфов на взгляд компьютерного ученого" (Safecracking for the computer scientist) американец Мэтт Блэйз (Matt Blaze). Интересующимся будет любопытно ознакомиться: www.crypto.com/papers/safelocks.pdf
Номер выпуска: 6