Tuesday, July 17, 2007

Security through obscurity

Tôi vốn chẳng thích gì "security through obscurity" (tôi thích "security + obscurity"), nhưng hôm nay tôi bỗng nhận ra đôi khi "security through obscurity" vẫn rất có ích.

Một ví dụ như thế này, kẻ thù của bạn sở hữu một loại vũ khí rất lợi hại, nhưng vì một số lý do nào đó, ví dụ như hạn chế về kiến thức chẳng hạn, họ chỉ mới khai thác được một phần nhỏ của loại vũ khí đó.

Nhờ thế mà bạn vẫn sống sót yên ổn đến bây giờ, bởi lẽ nếu họ biết cách khai thác toàn bộ những tính năng cực kì nguy hiểm còn lại, có thể bạn cũng còn sống nhưng chắc chắn người sẽ đầy thương tích.

Điều trớ trêu là bạn biết rõ cách khai thác những tính năng cực kì nguy hiểm đó. Vậy bạn sẽ:
  1. chỉ cho kẻ thù mình biết
  2. giấu kín càng lâu càng tốt
Rõ ràng để sống cho yên ổn, bạn nên chọn giải pháp 2. Giải pháp 2 còn giúp cho bạn có thêm thời gian để củng cố lực lượng, bởi lẽ đến một lúc nào đó, kẻ thù của bạn cũng sẽ biết được những bí mật.

3 comments:

justMyCuriousity said...

"giấu kín" ở trên có phải là không chủ động chỉ TRỰC TIẾP cho "đối thủ" không?


Vài trường hợp sau đây, theo thaidn liệu có nên giảng giải kỹ về XYZ (là một thứ "vũ khí" mà bạn e ngại và bạn cho rằng "đối phương" đang định sử dụng) :

1/ Bạn bè của bạn hỏi về XYZ trên một nơi công khai (forum, blog, mailing list, ...)

2/ Một nhân vật với nick lạ, cũng hỏi như trên tại nơi công khai như vậy.

3/ Bạn muốn viết một bài đóng góp/phổ biến kiến thức trên forum về XYZ

4/ Bạn mới có phát hiện gì đó về XYZ và rất hứng thú, muốn diễn thuyết về nó ở 1 hội thảo (conference, seminar, meeting... ) offline ?

Anonymous said...

justmycuriousity: những tình huống mà bồ đưa ra rất thú vị, thật sự hiện tại bản thân tôi cũng đang chuẩn bị nói về cái XYZ ở một nơi công cộng ;). Thậm chí tôi còn đang "phát triển" cái XYZ lên, để xem nó nguy hiểm cỡ nào.

Vấn đề này cũng giống như khi bồ phát hiện ra một hướng tấn công mới nào đó. (lưu ý là tôi dùng chữ hướng tấn công (attack vector), kiểu như buffer overflow, SQL Injection...chứ không phải từng lỗ hổng riêng lẽ). Lúc đó mặc dù những gì bồ phát hiện ra là rất nguy hiểm, nhưng bồ vẫn phải công bố nó ra ngoài (kèm theo giải pháp khắc phục chẳng hạn), để cảnh báo tất cả mọi người.

-Thái

conmale said...

He he, Thái ơi, anh nghĩ cái "obscurity" chỉ là phương tiện để "prolong" security breach mà thôi. Nó chính là cái gọi là "false sense of security".

Security là một thể trạng bình yên, ổn định và được bảo vệ. Obscurity là "ảo tưởng" của cái gọi là "được bảo vệ".

Dù gì đi chăng nữa, anh vẫn thấy không thể đặt nặng obscurity vào security. Obscurity có thể là "final touch to security" nhưng không thể là "one of security paremeters".

Thân.