Security by Obscurity existiert schon seit langem. Viele gestandene Securityexperten wettern dagegen, oft aus gutem Grund. Doch verdient dieses Prinzip wirklich diesen schlechten Ruf? Gibt es nicht doch eine Existenzberechtigung dafür?

Häufig, wie bereits so oft, führt mangelndes Verständnis zu einer schlechten Implementation eines Prinzips, welches an sich gar nicht so schlecht wäre. In diesem Artikel versuche ich, Security by Obscurity ein wenig anders zu betrachten.

Bedeutung von Obskurität

Um Security by Obscurity besser zu verstehen, muss erst die Bedeutung davon klar sein. Für mich bedeutet es, dass die Sicherheit (Security) ganz alleine dadurch abhängt (by), dass das Geschützte nicht entdeckt wird (Obscurity).

Ein Beispiel: Ein Admin betreibt einen SSH-Dienst, welcher ungehärtet, ungepatcht und ohne Monitoring im Internet angeboten wird. Dieser wird genutzt, damit sich besagter Admin von zuhause aus einloggen kann.

Um seinen Dienst zu schützen, verlegt er den Dienst von Port 22 auf Port 80. Dies bringt mehrere Vorteile mit sich. Hier einige Beispiele:

• Port 80 ist selten gesperrt, da der Zugriff auf Webseiten oftmals nicht unterbunden wird.
• Automatisierte Scanner erkennen den SSH-Dienst nicht mehr, da dieser normalerweise auf Port 22 horcht.

Obwohl der Dienst nun auf einem anderen Port angeboten wird, ist er aber keineswegs sicherer. Sollte ein automatisierter Scan jeden antwortenden Dienst genauer abklären (und das wird früher oder später bei entsprechender Scankonfiguration passieren), so wird der SSH-Dienst als solcher entlarvt.

Wie oben beschrieben, ist der Dienst ungehärtet, ungepatcht und entbehrt jeglichen Monitorings. Damit ist es nur eine Frage der Zeit, bis der Host gekapert wird, denn die Aktion der Verschleierung bringt ab diesem Zeitpunkt keinen Schutz mehr.

Obskurität differenziert betrachtet

Damit stellt sich die Frage, ob Obscurity hinfällig wird. Ich bin in dieser Hinsicht anderer Meinung. Nehmen wir das obere Beispiel doch noch einmal als Ausgangslage, diesmal jedoch mit anderen Rahmenbedingungen.

Der SSH-Dienst ist diesmal entsprechend gehärtet (Einsatz von Public Keys, Firewalling, Konfiguration etc), gepatcht (auf dem neusten Stand mit allen relevanten Sicherheitsupdates etc) und es herrscht ein striktes Monitoring vor (Protokollierung/Alarmierung, automatisierte Abwehr etc).

In Anbetracht dieser Konstellation nimmt die Verschiebung des SSH-Dienstes nach Port 80 einen anderen Stellenwert ein: Sie dient nicht mehr dem Schutz des Dienstes, sondern der Reduzierung der Angriffe.

Da der Dienst bereits geschützt ist, lässt diese Methode einen Admin einzelne Angriffe evaluieren. Wurden vorher täglich 18000 Angriffsversuche registriert, so sind es nun möglicherweise nur noch 18. Damit werden die Zugriffe übersichtlich und lassen sich auch manuell auswerten.

Beispiel aus der realen Welt

Obscurity wird ausserhalb der IT durchaus oft eingesetzt. Eines der besten Beispiel ist das Militär: Der Einsatz von Tarnfarbe, um bspw. Panzer besser mit der Umgebung verschmelzen zu lassen, ist Usus. Bei Tarnfarbe gibt es kaum jemanden, der behaupten würde, diese Praxis wäre sinnlos.

Die getarnten Panzer haben durch ihre Bemalung in keiner Weise an Schutz verloren. Durch die Tarnfarbe sind sie aber weniger sichtbar und werden somit weniger zum Ziel.

Damit lassen sich die Parallelen zur IT ziehen: Ein Dienst ist gehärtet, gepatcht etc und wird zusätzlich durch Obscurity einfach weniger als Ziel wahrgenommen.

Fazit

Obscurity kann ein sehr hilfreiches Werkzeug darin sein, Script Kiddies von professionellen Angreifern zu unterscheiden, denn Script Kiddies können in der Regel nur nach festgefahrenen Mustern vorgehen.

Besteht ein Securitykonzept daher ausschliesslich aus Obscurity, verdient es den Namen nicht, soviel ist klar. Wird Obscurity aber als zusätzliche Hürde eingebaut, die ein Angreifer nehmen muss, so ergibt sich ein ganz anderes Bild.

In diesem Fall wird Obscurity zu einer grossen Hilfe und sollte nicht einfach aufgrund Vorbehalte verworfen worden.

Links

• https://www.computec.ch/news.php?item.377