security through obscurity



Предыдущая | Следующая

security through obscurity (безопасность через непонятность), сущ. В устах хакера это означает горячо любимый и практикуемый многими продавцами операционных систем стиль, который заключается в продаже системы с оставленными в ней дырами в системе безопасности. Естественно, об этих дырах нет ни слова в документации, что позволяет маркетоидам считать, что их вроде бы и нет вообще; при этом они наивно верят, что никто из заказчиков не сможет их обнаружить, а если и обнаружат, то не сумеют ими воспользоваться. Но такие дыры не могут долго оставаться незамеченными, и рано или поздно всегда найдется хакер, которому захочется воспользоваться такой дырой – достаточно вспомнить громкий скандал в 1988 году в связи с «червем» RTM. Тем не менее, продавцы программного обеспечения продолжают делать вид, что их это никак не касается, и не предпринимают никаких действий, хотя и этому есть свое объяснение. Предположим, что все такие дыры будут закрыты – в этом случае будут перекрыты многие системные ресурсы из числа тех, которые необходимы для последующих конъюнктурных разработок. Кроме того, если будет объявлено, что в системе безопасности нет никаких дыр, многие клиенты вообразят, что это действительно так, утратят бдительность, перестанут тратить дополнительные усилия на их ликвидацию и в результате начнут пользоваться системами, в которых дырок не меньше, чем в швейцарском сыре -трудно даже вообразить, что в такой ситуации может произойти.Историческая справка. Утверждается, что впервые термин «безопасность через непонятность» появился в телеконференции comp. sys. аро-11о в USENET, когда определенными кругами были предприняты попытки заставить HP/Apollo решить проблемы с безопасностью в их системе Aegis/DomainOS [еще одна подделка (см. clone) под UNIX]; естественно, никаких изменений не произошло. В свою очередь фаны ITS заявляют, что они всегда использовали этот термин только в положительном смысле.