Re: Frage zur SSH Kennung
Am Donnerstag, 7. Juli 2005 20:41 schrieb Joerg Zimmermann:
> Hi,
>
> Daniel Leidert wrote:
> > Am Mittwoch, den 06.07.2005, 22:31 +0200 schrieb Joerg Zimmermann:
> >
> > [Versions-Anzeige und "security by obscurity"]
> >
> >>>Und wieso gehört das nicht zu: security thru obscurity?
> >>>Es sagt ja keiner das das der einzige Schutz ist, aber eben eine
> >>>zusätzliche Maßnahme.
> >>
> >>'security thru obscurity' ist wenn Du ssh auf dem Port, sagen wir
> >>mal 737 machst, oder deine /etc/passwd in
> >>/usr/lib/geheimepasswoerter umbennenst.
> >>Es ist nichts obscures daran, einem potenziellen Angreifer keine
> >>unnötigen Informationen zu liefern.
> >
> > Du irrst :) "Obscurity" heißt nicht nur "obskur/Obskurität", so wie
> > wir es im Deutschen verwenden. Es heißt auch "Unklarheit". Genau
> > das
>
> Unklar bedeutet, das etwas klar sein muss. Um ein ssh zu machen muss
> ich nicht Klarheit über das eingesetzte Betriebssystem auf der
> Gegenseite haben.
>
> > erreichst du, indem du die Information über die Version verbirgst -
> > also den potentiellen Angreifer über die Version im Unklaren lässt.
> > Das ist zweifelsfrei: "security by obscurity".
>
> Mit "security by obscurity" ist im allgemeinen gemeint
> "durch unübliche Konfiguration eines Hosts oder IT-Systems einen
> potenziellen Angreifer zu verwirren".
Das ist unfug, S-T-O heißt einfach nur das man Informationen verschweigt
um damit das Sicherheitsniveau zu steigern. Es stammt schliesslich aus
der Kryptographie, wo man einfach die eingesetzten Algorithmen nicht
offen legte um sie so für sicher zu erklären. Eine weitere Methode wäre
z.B. Closed Source.
--
Markus Schulz
"Ich dachte immer, UNIX ist was für Leute, denen es gefällt,
auf einen Bildschirm zu starren, auf dem es aussieht, als
hätte sich gerade ein Gürteltier auf der Tastatur gewälzt."
(Stefan Schneider)
Reply to: