dus een beetje 'wat niet weet, wat niet deert' met als
toevoeging 'wat niet weet, kan niet misbruikt worden'

Niet mee eens dat dit een juiste aanpak is, want wanneer
iemand een lek heeft gevonden en dit wil (en gaat)
misbruiken zou het dus ook verstandig zijn om dat lek voor
zichzelf te houden zodat hij het kan blijven misbruiken.

<kromme vergelijking mode on> de mistlampen in mijn auto
zitten er alleen voor de sier, maar dat is niet nodig om te
weten want ik woon op aruba en daar mist het nooit (bij
wijze van). Dan kom je er dus achter als het ineens wel gaat
misten en je geen mistlampen hebt.

Dit heeft de potentie om een leuke discussie te worden. Zou
dit ook een van de redenen zijn dat MS zo voorzichtig is met
haar geliefde broncode?

T

Maar als je mijn IP niet weet kan je me ook niet gericht aanvallen.

Yep. Het probleem met security by obscurity is dat je het
geheimhouden van een lek niet zelf in de hand hebt. Het is
hetzelfde als geheim houden waar je de sleutel van je
achterdeur hebt liggen. Dat werkt prima, totdat iemand de
sleutel vindt. Als die persoon dan het hele dorp gaat
vertellen waar jij je sleutel bewaart terwijl je 'm maar
eens per maand op een andere plek kan leggen, heb je een
probleem.

Hoe bedoel je dat? IP is gewoon te achterhalen. Ook als je
posts achterlaat op sites (zoals deze) Denk niet dat dit
bedoelt wordt in het verhaal.

T

Obscurity (behalve van keys natuurlijk) mag nooit de reden
zijn dat een systeem veilig is. Heb je daarentegen al een
veilig systeem, dan is het niet altijd een slecht idee het
eventuele aanvallers nog moeilijker te maken door niet te
vertellen hoe het in elkaar zit.

Wat MS betreft: in hun stukken over de security van
open-source producten vinden ze het gebrek aan `obscurity'
heel relevant. Gaat het daarentegen over gelekte
Windows-broncode dan is er niets aan de hand ;).

Ze houden hun broncode natuurlijk niet alleen geheim ivm
security, maar vooral ook simpelweg zodat niemand hun code
jat :)

"Obscurity (behalve van keys natuurlijk)"

Natuurlijk. Dat is de grap juist, je gaat er van uit dat je
keys veilig zijn op een bepaalde manier door ze geheim te
houden. Vertel mij eens voor de gein: waar bewaar JIJ jouw
GPG keys? Waar bewaren de MEESTE mensen deze? Achten ze die
plek veilig?

Alles is uiteindelijk te kraken. Waar sla je wat op? Op een
cryptodisk, in je hoofd, op een zwaarbeveiligde computer, op
een floppy in een kluis. Echter, op de een of andere manier
zijn te toch te bemachtigen; TEMPEST, inbeslagnemen van de
computer, kraken van de zwaarbeveiligde server, dmv politie
(of andere overheidsdienst) toegang tot de keys af te
dwingen. Het moge duidelijk zijn dat deze methodes vaak
gebruikt worden door a) overheden, geheime diensten b)
andere professionele individuen of groepen. Moraal is dan
ook: elk security design heeft zwakke plekken. Deze negeren
of je ogen er voor sluiten is onverstandig. Je moet je
echter wel afvragen hoe belangrijk de informatie die je
beschermt is en wie er belang in heeft. Laten we stellen dat
er enorm veel onbelangrijke informatie versleuteld wordt
welke eigenlijk het niet waard is om te versleutelen terwijl
het versleutelen zwakke plekken heeft die makkelijk aan te
vallen zijn wanneer werkelijk nodig; het punt is, dat dat
niet nodig is in de meeste gevallen, omdat het om
onbelangrijke informatie gaat. Maar wanneer groep A of B
echt wil, dan kunnen ze de beveiliging doorbreken en dat is
iets waar zgn. 'security specialisten' blind voor zijn.

Adendum: "Heb je daarentegen al een veilig systeem" <-
Veilig IS geen propositie. Iets veilig stellen is een
afweging die je maakt waarmee je risico's als zodanig miniem
stelt dat je er van uit gaat dat er niets mis kan gaan met
de integriteit. Echter, met veilig stellen moet je enorm
voorzichtig zijn en je moet analyseren wat je zwakke plekken
zijn. Keer op keer blijkt overigens maar weer, dat de mens
de zwakste schakel is in beveiliging.

Kijk, je kunt het op twee manieren ervaren. Obscurity voor beide partijen, of
enkel voor de onbekende partij, partij X oftewel een potentiele cracker.

Obscurity voor beide partijen houdt in, dat je zelf ook niet op de hoogte bent
van lekken en dat ook niet zo snel zal worden, omdat je er niet op wordt
gewezen. Eigenhandig op zoek gaan naar lekken, is in de praktijk
bewezen, een ondoenlijke zaak. Een uitzondering zoals OpenBSD daar
gelaten.

Jezelf dus afzijdig houden van het optimaliseren van je product voor alle
partijen is je kop in het zand steken.

Obscurity bewust inzetten als een security laag kan wel en wordt ook op
verschillende manieren toegepast. Netwerkmappings bijvoorbeeld, die
hang je ook niet op het prikbord (figuurlijk geschreven).

Hoeveel beheerders schakelen version announcing uit in bijv. Apache of
MySQL en meerdere applicaties? Zodoende zul je door fingerprinting door
bijv. nmap niet snel kunnen achterhalen welke services een server draait
of niet kunnen uitvinden welk OS en welke distributie/versie er op staat.

Standaard packages met default settings zoals Webmin, phpBB,
phpMyAdmin kunnen veel zeggen over de configuratie. De beheerder is
genoodzaakt niet alles default te laten, met oog op te ontdekken exploits
vroeg of laat. Laat dus niet aan iedereen weten dat je die services hebt
geinstalleerd.

Wie gebruikt tegenwoordig nog "finger" als daemon? Is dat nog zinvol om
te gebruiken op een server die aan het internet verbonden is?

En dan naamconventies, je noemt een mailserver niet zo snel "mail"
of "smtp" meer als je niet wilt dat derden zodoende makkelijk kunnen
uitvinden hoe je netwerk in elkaar zit.

Maar dit soort afschermingen zijn bewuste keuzes, dit is obscurity voor de
buitenstaander, terwijl de beheerder dondersgoed weet welke gegevens
vrij zijn en welke niet.

Ik denk dat de tweede manier van obscurity een stuk beter is. Weet welke
informatie er is op je netwerk/systeem, weet in hoeverre het bereikbaar is
en eventueel noodzakelijk bereikbaar moet zijn. Sluit de rest af en
installeer alleen dingen die noodzakelijk zijn.

Dat laatste is dus een minpunt voor Microsoft (helaas,;-), want je hebt daar
heel weinig controle over wat er geinstalleerd wordt en welke eenheden er
totaal niet nuttig zijn voor de functie van het te gebruiken systeem.

- Unomi -

Precies, het is geen excuus om af te zien van maatregelen maar wel een
zinvolle aanvulling om de kans verder te verkleinen.

Security by obscurity kan en mag geen beleid zijn, in het allergunstigste
geval is obscurity een bij product van security. Let wel obscurity in je security
maakt ook security flaws obscuur.

Is dat laatste zo? Ga je er dan vanuit dat je vrijwillige bijdragen krijgt om je
security te verbeteren als je volledige openheid geeft? Weegt het risico van
volledige openheid altijd op tegen de relatieve veiligheid van obscurity?

Soort van gerelateerd: ik erger me er altijd mateloos aan
dat veel van die webapplicaties vrolijk tegen de
buitenwereld roepen: `Powered by X versie Y'.

Op die manier maak je Google wel een heel mooie tool voor
hackers. Ik bedoel, natuurlijk, je moet gewoon patchen en
recente versies van software draaien, maar van de daken
schreeuwen welke versie je precies gebruikt lijkt me toch
niet zo slim...

Obscurity is ZEKER een layer van security. Ik vind dat niet
echt een stelling.. het is geen GOEDE beveiliging meestal,
maar het vermoeilijkt de zaken wel degelijk. Het is alleen
belangrijk dat het als dusdanig gezien wordt, dat men op de
hoogte is en ervan uit gaat dat het maar een geringe
veiligheid oplevert. Oftewel de veiligheid van het systeem
moet niet in z'n geheel afhangen van obscurity, maar is als
layer niet verkeerd.

Obscurity is een dun laagje, niet meer, niet minder.

Typische problemen :
- blijkt vaak de enige bescherming te zijn
- is meestal tijdelijk van aard
- is maar al te vaak een aanwijzing van slechte security
(gebruik als dekmantel)
- Is meestal nog slecht geïmplementeerd ook, door de
obscurity naar diegenen die het systeem moeten beheren toe.
- Vaak een vorm van jobprotectie

Obscurity is zeker een manier van beveiligen. Kijk maar naar
allerlei militaire organisaties.

Wat deze organisaties heel goed weten, is dat het niet je
enige layer of defence kan en mag zijn. Daarom hebben al die
militaire organisaties allerlei andere maatregelen genomen
bovenop obscurity.

een heeeeeeeeel dun laagje, zo dun dat je hem beter helemaal
niet kan hebben