Hvor anti-sec er Anti-sec?

I følge Wikipedia betyr full avsløring fra 16. juli 2009:

å avsløre alle detaljene om et sikkerhetsproblem som er kjent. Det er en filosofi om sikkerhetsstyring som er helt imot ideen om sikkerhet gjennom uklarhet. Konseptet med full avsløring er kontroversielt, men ikke nytt; det har vært et spørsmål for låsesmeder siden 1800-tallet.

Konseptet med sikkerhet gjennom uklarhet er en policy der det antas at å holde sikkerhetspraksis og politikk hemmelig (eller "uklar") styrker sikkerheten ved å nekte informasjon til sikkerhetsknekkere som de kan bruke for å hjelpe sine forsøk på å knekke sikkerhet. Strenge argumenter tilbys på begge sider av spørsmålet om full avsløring kontra sikkerhet gjennom uklarhet.

Mange sikkerhetsforskere praktiserer en "full avsløring" -policy i ulik grad, noen oppdager sårbarheter og rapporterer dem først til utviklere, deretter, etter en periode, til publikum - i håp om at forestående avsløring av sårbarheter vil motivere utviklerne til å produsere oppdateringer for sårbarheter tidligere enn senere. Andre rapporterer ganske enkelt sårbarheter til hele verden, inkludert programvareleverandører og utviklere, via postlister og andre offentlige arenaer, noe som får en gal rusling blant utviklerne til å produsere oppdateringer enda raskere (håper man).

I en veldig merkelig hendelsesvending har en enhet som kaller seg "Anti-sec" - enten det er en enkeltperson eller en gruppe av dem - benyttet seg av ulovlig sikkerhetskraking som et middel til å bekjempe den fullstendige avsløringspolitikken, ved å bruke avslørte sårbarheter mot de som bruker den sårbare programvaren som et middel til å spre et budskap om frykt. Hensikten er tilsynelatende å "skremme" folk fra å støtte en full avsløringspolitikk og mobbe dem til å motsette seg den fulle avsløringsfilosofien. Det merkeligste med denne hendelsesevnen er at denne enheten ser ut til å ha støttet Microsoft og andre store programvareleverandører, og tok opp sitt sikkerhetsbanner gjennom uklarhet.

Anti-secs mest kjente handling så langt var å knekke sikkerheten på ImageShack for omtrent en uke siden, noe som fikk et enkelt bilde til å vises overalt som noe annet ImageShack-vert bilde ellers ville vises. Bildet er tekst på svart bakgrunn, og leser delvis:

Sikkerhetsindustrien bruker full avsløring for å tjene penger og utvikle skremseltaktikker for å overbevise folk om å kjøpe brannmurer, antivirusprogramvare og revisjonstjenester.

I mellomtiden kopierer og limer skriptkiddies disse utnyttingene og kompilerer dem, klare til å slå alle sårbare servere de kan få tak i. Hvis whitehats virkelig handlet om sikkerhet, ville ikke disse tingene blitt publisert, ikke engang utnyttelser med dumme redigeringer for å gjøre dem litt ubrukelige.

Som en vidd hos reddit sa:

Noen introduserer denne stakkars sjelen for gratis programvare

Den som står bak "Anti-sec" har helt klart ikke kommet forbi den mest grunnleggende, forenklede følelsen av hva som utgjør god sikkerhetspraksis, og har forutsagt hele ideen om hvordan sikkerhet fungerer etter policyene til bedriftsprogramvareleverandører som er mer interessert i å beskytte en inntektsstrøm enn i å faktisk produsere sikker programvare. Det kan være en god ide for Anti-sec å pause et øyeblikk, og fundere på Shannons Maxim:

Fienden kjenner systemet.

. . . eller Kerckhoffs 'prinsipp:

et kryptosystem bør være sikkert selv om alt om systemet, bortsett fra nøkkelen, er offentlig kunnskap.

Som Bruce Schneier forklarer det:

Kerckhoffs 'prinsipp gjelder utover koder og chiffer for sikkerhetssystemer generelt: hver hemmelighet skaper et potensielt feilpunkt. Taushetsplikt er med andre ord en hovedårsak til sprøhet - og derfor noe som vil gjøre et system utsatt for katastrofal kollaps. Motsatt gir åpenhet duktilitet.

Dette er alle veldig smarte armaturer i teorien om sikkerhet, spesielt når det gjelder IT-sikkerhet. Mitt eget ansvar er at sikkerhet gjennom synlighet er en langt mer effektiv tilnærming enn sikkerhet gjennom uklarhet. Problemene med sikkerhet gjennom uklarhet er faktisk selve grunnen til at kryptering som ikke stoler på brukeren ikke er pålitelig .

Anti-sec sier om sine intensjoner:

Det er vårt mål at gjennom kaos og ødeleggelse av alle utnyttende og skadelige samfunn, selskaper og enkeltpersoner, vil full avsløring og sikkerhetsnæringen bli tvunget til reformer.

Hvordan planlegger vi å oppnå dette? Gjennom full og upretensiøs, uredelig eliminering av alle tilhengere av full avsløring og sikkerhetsbransjen i sin nåværende form. Hvis du eier en sikkerhetsblogg, et nettsted for utnyttende publikasjoner eller distribuerer eventuelle utnyttelser ... "er du et mål og du vil bli sendt. Bare et spørsmål om tid."

Dette er dristige påstander - påstander som ærlig talt ikke klarer å overbevise meg. De klarer ikke å overbevise meg om at ikke bare å holde alle sårbarheter og utnyttelser hemmelig, slik at ingen kan beskytte seg selv og at lapper ikke blir produsert på en riktig måte, vil gjøre verden til et bedre sted, men også at Anti-sec vil ha stor suksess. Det er mulig at omtrent hvem som helst eller noe annet kan lykkes målrettet, men det krever en vedvarende kampanje for å faktisk ta ned de fleste nettsteder permanent, og det er altfor mange potensielle mål for å nå dem alle - spesielt før du blir fanget. Jeg forventer at Anti-sec blir fanget, eller bare vil visne bort.

Men for en slik anti-corporate klingende melding, svir tankene mine på hvordan Anti-secs mål samsvarer så fint med noen av de minst sikkerhetseffektive programvareleverandørene og utviklerne i verden. Anti-sec har navngitt seg godt; det forkjemper absolutt eliminering av noen av de mest effektive verktøyene i vårt arsenal i kampen mot sikkerhetssprekker.

© Copyright 2021 | pepebotifarra.com