Security through Obscurity

Jag tittade en snabbing på Uppdrag Granskning på SVT ikväll där de snackade om ASSA-låsen som tydligen är lätta att få upp.
VD’n säger i intervjun att man tog beslutet att inte berätta för sina kunder om denna svagheten när man fick veta att den fanns. Anledningen till beslutet var att man, om man berättade om svagheten, skulle tvingas att släppa ut viss information om hur man kunde missbruka den. Detta skulle i sin tur leda till att inbrottstjuvar skulle få veta det, som det var i Januari så visste bara ett tiotal ”yrkesmän” om denna svagheten och yrkesmän berättar inte hur man bryter sig in i folks hus.

Tanken med resonemanget ovan är bra, men världen funkar inte på detta sättet. Folk som sysslar med it-säkerhet känner till svårigheterna när man hittar ett nytt säkerhetshål; antingen så publicerar man informationen direkt, eller så vänder man sig till programtillverkaren med upplysningen så att de kan fixa problemet. Kruxet är att programtillverkaren ibland inte bryr sig om att fixa problemet.
Vad värre är; det finns ingen garanti för att ”skurkarna” inte har hittat problemet och kan utnyttja det. Det finns ett flertal exempel på att man har mörkat säkerhetshål just för att ”skurkarna” inte ska utnyttja det, resultatet är att skurkarna utnyttjar det och användaren blir lidande.

Precis samma problematik finns i den fysiska världen, om en professionell låssmed går till ASSA och säger ”Jag vet hur man bryter upp ert lås på tio sekunder”, så är det ingen garanti för att ”skurkarna” inte vet om det. Det är snarare sannolikt att skurkarna vet om problemet, men de har inget intresse av att berätta detta för tillverkaren då de kommer åtgärda det.
Hade ASSA gått ut redan i Januari och berättat om problemet med sina lås, då hade sannolikt fler personer installerat skyddsblecket som erbjöds eftersom man fått reda på att låset hade en svaghet.

Vad ville jag ha sagt med detta?
”Security through Obscurity isn’t Secure at all.”

(intressant)

Annonser

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s


%d bloggare gillar detta: