אבטחה בקוד פתוח

מחשבות ראשונית שיש לי בנושא:

במוצרי קוד פתוח, תפיסת האבטחה היא דו כיוונית – מצד אחד, ניצור מוצר מאובטח יותר, מפני שאנו יודעים שפרצות שנשאיר יהיו חשופות לעיני כל.

מצד שני, הקהילה מחפשת באופן אקטיבי אחר פרצות, ועוזרת לנו לסגור אותן.

כיצד ניתן ליישם את השיטה על אבטחת מתקנים?

התפיסה לגבי מתקנים בטחוניים היא שאסור לחשוף את המבנה הפנימי שלהם, אסור לצלם אותם, הם לא יופיעו במפות וכד' – זאת כדי לא לחשוף פרצות פוטנציאליות.

התפיסה הרווחת לגבי אבטחת מתקנים בטחוניים היא שיש לשנות את השגרה כל הזמן – וכך נעביר את הפרצות שלנו ממקום למקום.

בנוסף, לא תמיד יש את האפשרות להיות 100% חסינים, משיקולי עלות, כח אדם וכד'.

האם ניתן להגיע למצב שבו פלוני, בעל מפעל, יכול לחשוף לציבור את מבנה המפעל, את מיקום החדר עם הכספת, ואת פירוט אמצעי האבטחה שלו, מתוך ידיעה שהוא מאובטח ב100%, ואם לא אז הקהילה תעזור לו למצוא את הפרצות שלו ולסגור אותן?

Tags: ,

  1. אפי פוקס’s avatar

    לא. כי מהמוצר הפתוח נהנית הקהילה כולה. כל אחד בעצמו ובאופן ישיר. ממפעל סודי פתוח אף אחד לא נהנה באופן ישיר, אם בכלל באופן עקיף.

    הגב

  2. צפריר’s avatar

    נכון – אז מה לגבי אבטחת גני ילדים ובתי ספר?

    הגב

  3. אפי פוקס’s avatar

    אתה מדבר על מתחם שהמשאבים שמוקצים לטובתו היו עד לא מזמן נרקומן בגמילה או פנסיונר שיכול להיות שם בין 8 ל-12 וגדר של העירייה? (ומהיום זה גננות מורות והורים מתנדבים).

    אל תשכח שאנשים נוטים להתבלבל בין השימוש בביטוי אבטחה בכתיבת קוד לאבטחה פיסית. בעוד שהראשון הוא פרי של 100% תכנון וארכיטקטורה, השני הוא 2% תכנון ו-98% משאבים.

    אני לא מבין גדול באבטחת תוכנה. אבל באבטחה פיסית עסקתי במשך שש שנותי בצה"ל ועוד שנה ומשהו מחוצה לו. הכל עניין של משאבים.

    האמן לי שלהיכן שמוקצים המשאבים באופן שנותן מענה ל50% מהאיומים, אתה תדהם מהאבטחה שישנה.

    הגב

  4. צפריר’s avatar

    נקודת היסוד שלי בניסוי המחשבתי הזה היא שפעולה בשיטת Security through obscurity, היא בהכרח אשליה, ואני חושב כיצד ניתן ליישם את ההנחה הזו בתחומים שלא חשבו עליהם עד כה.

    כנראה שיש עוד על מה להרהר בנושא.

    הגב

  5. נתנאל’s avatar

    נראה לי שאלו שני עולמות שונים לגמרי, בקוד פתוח אפשר להשתמש בהצפנה חד כיוונית, שקשה מאוד לפרוץ אותה מהצד השני, גם אם האלגוריתם ידוע, בעוד בעולם האבטחה הפיזית המושג הזה לא קיים בכלל.

    לעומת זאת יסוד חשוב באבטחה פיזית הוא ההרתעה, פעולות יזומות שנועדו להקשות ולשבש את ההתקפה הנגדית (מסידרת 'ההגנה הטוב ביותר היא ההתקפה'), יסוד שקשה להפעיל אותו בעולם התוכנה החופשית, היות ותמיד קוד התוכנה גלוי.

    הגב

Reply

האימייל לא יוצג באתר. שדות החובה מסומנים *

titassite