Differenzierte Obskurität

Differenzierte Obskurität

von Sean Rütschi
Lesezeit: 4 Minuten

Security by Obscurity existiert schon seit langem. Viele gestandene Securityexperten wettern dagegen, oft aus gutem Grund. Doch verdient dieses Prinzip wirklich diesen schlechten Ruf? Gibt es nicht doch eine Existenzberechtigung dafür?

Häufig, wie bereits so oft, führt mangelndes Verständnis zu einer schlechten Implementation eines Prinzips, welches an sich gar nicht so schlecht wäre. In diesem Artikel versuche ich, Security by Obscurity ein wenig anders zu betrachten.

Bedeutung von Obskurität

Um Security by Obscurity besser zu verstehen, muss erst die Bedeutung davon klar sein. Für mich bedeutet es, dass die Sicherheit (Security) ganz alleine dadurch abhängt (by), dass das Geschützte nicht entdeckt wird (Obscurity).

Ein Beispiel: Ein Admin betreibt einen SSH-Dienst, welcher ungehärtet, ungepatcht und ohne Monitoring im Internet angeboten wird. Dieser wird genutzt, damit sich besagter Admin von zuhause aus einloggen kann.

Um seinen Dienst zu schützen, verlegt er den Dienst von Port 22 auf Port 80. Dies bringt mehrere Vorteile mit sich. Hier einige Beispiele:

Obwohl der Dienst nun auf einem anderen Port angeboten wird, ist er aber keineswegs sicherer. Sollte ein automatisierter Scan jeden antwortenden Dienst genauer abklären (und das wird früher oder später bei entsprechender Scankonfiguration passieren), so wird der SSH-Dienst als solcher entlarvt.

Wie oben beschrieben, ist der Dienst ungehärtet, ungepatcht und entbehrt jeglichen Monitorings. Damit ist es nur eine Frage der Zeit, bis der Host gekapert wird, denn die Aktion der Verschleierung bringt ab diesem Zeitpunkt keinen Schutz mehr.

Obskurität differenziert betrachtet

Damit stellt sich die Frage, ob Obscurity hinfällig wird. Ich bin in dieser Hinsicht anderer Meinung. Nehmen wir das obere Beispiel doch noch einmal als Ausgangslage, diesmal jedoch mit anderen Rahmenbedingungen.

Der SSH-Dienst ist diesmal entsprechend gehärtet (Einsatz von Public Keys, Firewalling, Konfiguration etc), gepatcht (auf dem neusten Stand mit allen relevanten Sicherheitsupdates etc) und es herrscht ein striktes Monitoring vor (Protokollierung/Alarmierung, automatisierte Abwehr etc).

In Anbetracht dieser Konstellation nimmt die Verschiebung des SSH-Dienstes nach Port 80 einen anderen Stellenwert ein: Sie dient nicht mehr dem Schutz des Dienstes, sondern der Reduzierung der Angriffe.

Da der Dienst bereits geschützt ist, lässt diese Methode einen Admin einzelne Angriffe evaluieren. Wurden vorher täglich 18000 Angriffsversuche registriert, so sind es nun möglicherweise nur noch 18. Damit werden die Zugriffe übersichtlich und lassen sich auch manuell auswerten.

Beispiel aus der realen Welt

Obscurity wird ausserhalb der IT durchaus oft eingesetzt. Eines der besten Beispiel ist das Militär: Der Einsatz von Tarnfarbe, um bspw. Panzer besser mit der Umgebung verschmelzen zu lassen, ist Usus. Bei Tarnfarbe gibt es kaum jemanden, der behaupten würde, diese Praxis wäre sinnlos.

Die getarnten Panzer haben durch ihre Bemalung in keiner Weise an Schutz verloren. Durch die Tarnfarbe sind sie aber weniger sichtbar und werden somit weniger zum Ziel.

Damit lassen sich die Parallelen zur IT ziehen: Ein Dienst ist gehärtet, gepatcht etc und wird zusätzlich durch Obscurity einfach weniger als Ziel wahrgenommen.

Fazit

Obscurity kann ein sehr hilfreiches Werkzeug darin sein, Script Kiddies von professionellen Angreifern zu unterscheiden, denn Script Kiddies können in der Regel nur nach festgefahrenen Mustern vorgehen.

Besteht ein Securitykonzept daher ausschliesslich aus Obscurity, verdient es den Namen nicht, soviel ist klar. Wird Obscurity aber als zusätzliche Hürde eingebaut, die ein Angreifer nehmen muss, so ergibt sich ein ganz anderes Bild.

In diesem Fall wird Obscurity zu einer grossen Hilfe und sollte nicht einfach aufgrund Vorbehalte verworfen worden.

Über den Autor

Sean Rütschi interessiert sich seit 2008 für den Bereich der Informationssicherheit. Seine Schwerpunkte liegen bei OS-Hardening, wobei er sich auf Linux spezialisiert hat.

Links

Sie wollen die Sicherheit Ihrer Firewall prüfen?

Unsere Spezialisten kontaktieren Sie gern!

×
Crypto-Malware

Crypto-Malware

Ahmet Hrnjadovic

TIBER-EU Framework

TIBER-EU Framework

Dominik Altermatt

Vertrauen und KI

Vertrauen und KI

Marisa Tschopp

Datenverschlüsselung in der Cloud

Datenverschlüsselung in der Cloud

Tomaso Vasella

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv