Това, което не знаеш, може да те нарани
Ако входната врата към къщата ви е покрита с храсти и дървета, това означава ли, че не е нужно да я заключвате? Това е вид основа на сигурността чрез неяснота. По същество сигурността чрез неяснота разчита на факта, че дадена уязвимост е скрита или тайна като мярка за сигурност. Разбира се, ако някой или нещо случайно открие уязвимостта, няма реална защита, за да се предотврати експлоатацията.
Има хора в областта на киберсигурността и правителствени организации, които биха предпочели да пазят тайните и съветите на хакерите и крекерите. Те смятат, че споделянето на знанието е еквивалентно на насърчаване на нови злонамерени хакери и бисквитки, за да изпробват техниките за незаконни и неетични цели. Те вярват, че като държат техниките и техниките извън публичното пространство, те защитават света като цяло.
Ние сме по-склонни да се съгласим със страната, която вярва, че пълното разкриване на трикове и техники предлага най-добрата възможност да бъде в състояние да ги защити или да ги унищожи напълно. Да приемем, че сигурността чрез неяснота предлага защита е да приемем, че никой друг човек в света не може да открие същите недостатъци или уязвимости. Това изглежда като предположение на глупак.
Фактът, че може да не знаете как да управлявате пистолет, няма да спре неетичен или неморален човек, който знае как да използва оръжието, за да ви навреди. По същия начин, без да знаете как хакерски техники работят, няма да ви защити от неетичен или неморален човек, който знае техниките и техниките от хакерство във вашата компютърна система или причинява други злонамерени вреди на вашата мрежа или компютър.
Етика срещу знание
Това, което разделя крадците от детективите и хакерите от администраторите по сигурността, е етика, а не знание. Трябва да познавате врага си, за да подготвите правилната защита. Белите хакери на света имат едни и същи познания като хакерите на света - те просто избират да използват знанията си за етични цели, а не за злобни или незаконни действия.
Някои от хакерите от бялата страна са започнали да започнат работа като консултанти по сигурността или да формират компании, които са отделени да помагат на други компании да се защитят от хакерите на света. Вместо да прилагат знанията си за незаконна дейност, която може или не може да направи бърз доход, но със сигурност ще ги прибере в затвора, те решат да приложат знанията си, за да направят това, което обичат да правят, докато правят много пари - ,
Някои от тези хора също правят каквото могат, за да споделят съветите, трикове и техники, използвани от хакерите и бисквитите с останалата част от света, за да ги научат как да се защитят. Джордж Курц и Стюърт МакКлеър основаха компанията за сигурност Foundstone (по-късно закупена от McAfee). Тези двама ветерани по сигурността на информацията заедно с Joel Scambray, консултант по ИТ сигурност на Fortune 50 компании, са автор на най-продаваната книга за компютърна сигурност Hacking Exposed, пусната в шестото издание и произхода на много успешната Hacking Exposed серия.
6-то издание на Hacking Exposed наскоро бе освободено. Hacking Exposed създаде и много успешна серия от други хакерски ексклузивни заглавия: Hacking Exposed - Wireless, Hacking Exposed - Linux, Hacking Exposed - компютърна криминалистика и др. Съществуват и подобни книги от други автори, като хак атаките, разкрити от Джон Кирило и Counter Hack, презаредени от Ед Скудис.
Hacking Exposed се счита от мнозина за най-добрата книга по темата. Тези трима господа, с участието на много други експерти по сигурността на информацията (повечето от които работят и за Foundstone), са съставили подробно ръководство за методите, техниките и технологиите, използвани от хакери, за да проникнат във вашата мрежа или компютър.
В предговора към книгата Патрик Хейм, заместник-председател на Enterprise Security за McKesson Corporation, пише: "Сега, когато черно изкуство на хакерството е демонизирано, бих казал, че е от съществено значение хората, натоварени с проектирането, изграждането и поддържането на информация инфраструктурата, за да бъде напълно наясно с истинските заплахи, които техните системи ще трябва да отблъснат. "
Когато видите лекар, вие очаквате, че правилно ще диагностицират симптомите Ви и ще определят истинския проблем, преди да дадат съвет или да предписват лекарства. За да го направите, лекарят трябва да е напълно наясно с различните заплахи, които тялото ви може да срещне и какви са ефективните мерки за противодействие на тези конкретни заплахи.
Точно както един детектив трябва да мисли като крадец да хване крадец, а лекар трябва да знае как вирусите и болестите работят и се държат, за да ги диагностицират и противодействат, очакваме експерт по сигурността на информацията да бъде експерт в използването на трикове, инструменти и техники от тях се иска да се защитят. Само с това знание можем честно да очакваме някой да може да се защити адекватно срещу хакери и да установи кога и как се е случило намеса, ако всъщност мрежата ви е компрометирана.
Невежеството не е блаженство. Сигурността чрез неяснота не работи. Това означава само, че лошите момчета знаят неща, които не правите и ще експлоатират невежеството си в най-голяма степен всяка възможност, която получават.