Security by obscurity: occhio non vede, cuore non duole

Security
by obscurity: occhio non vede, cuore non duole

Fioccano discussioni attorno alla misura di sicurezza denominata
“security by obscurity”. Infallibile per alcuni, inaffidabile per
altri. Chi avrà ragione?

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

L’espressione “security by obscurity” indica
un principio secondo il quale la sicurezza è garantita attraverso l’occultamento
dell’implementazione del software. Questa misura è adottata quando
si suppone che le vulnerabilità, reali o supposte, siano improbabili
da individuare senza il possesso del relativo codice sorgente.
In passato nel campo della crittografia questo era un principio molto in uso,
specialmente da parte di esperti crittografi al lavoro presso agenzie di intelligence,
il cui fondamento per eccellenza è proprio la segretezza. Oggi tale provvedimento
sembra essersi offuscato all’ombra di quei medesimi specialisti che trovano
impiego nelle meno segrete università, dove più semplicemente
pubblicano i risulati delle proprie ricerche.
Sentiamo il parere di alcuni esperti a riguardo. Tra le opinioni favorevoli
all’utilità del sistema “security by obscurity” troviamo
quella di David Lacey che sostiene come questo principio sia tuttora valido.
A suo dire l’incertezza legata alla non conoscenza funge da deterrente
per gran parte degli attacchi. Tesse lodi anche Richard Stiennon che nota che
questa misura di sicurezza è tra le più adottate di tutte, dal
momento che su 70 milioni di siti web sono state vendute solo poche migliaia
di firewall per applicazioni web. In una posizione intermedia si collocano Bruce
Schneier e John Pescatore i quali ritengono che tale provvedimento vada ridotto
al minimo e infatti propongono come alternativa di incorporare i componenti
“segreti” in una più vasta interfaccia pubblica. Yeomans
e Johnson da una parte affermano che il metodo possa realmente rallentare gli
attaccanti e scoraggiare chi non possiede adeguate risorse; aggiungono però
che tale provvedimento non sia infallibile dal momento che i prezzi delle risorse
necessarie agli attacchi diminuiscono con l’evolversi della tecnologia e, nonostante
il guadagno di tempo, la sicurezza garantita dall’oscurità finisce definitivamente
e irrimediabilmente quando si riesce a eliminare quest’ultima. Nick Selby appare
il più scettico, considera del tutto inapplicabile la “security
by obscurity” spiegandoci il concetto con una metafora. Ossia è
vero che per proteggere qualcosa basta nasconderla da occhi pericolosi oppure
sarebbe meglio pensare a sicure difese per proteggerla? Preferireste chiudere
la porta di casa con dei lucchetti a prova di scassinatore o nasconderla con
un manto nero sperando che nessuno la noti?

Leggi anche:  Nuove funzionalità Forest Druid di Semperis

Di Linda Imperiali