Om ytterdörren till ditt hus är täckt av buskar och träd, betyder det att du inte behöver låsa den? Det är sånt som grunden för säkerhet genom dunkelhet. I grund och botten är säkerhet genom dunkhet beroende av det faktum att en viss sårbarhet är gömd eller hemlig som en säkerhetsåtgärd. Självklart, om någon eller något av misstag upptäcker sårbarheten finns det inget verkligt skydd för att förhindra exploatering.
Det finns de som arbetar inom cybersäkerhetsområdet och regeringsorganisationer som föredrar att hålla trick och tips för hackare och crackers hemliga. De känner att för att dela kunskapen är det lika med att uppmuntra nya skadliga hackare och crackers att prova teknikerna för olagliga och oetiska ändamål. De tror det genom att hålla tricks och tekniker ur det offentliga området att de skyddar världen i stort.
Vi är mer benägna att komma överens med den sida som anser att fullständigt avslöjande av trick och tekniker erbjuder den bästa möjligheten att kunna skydda mot dem eller upphäva dem helt och hållet. Att anta att säkerhet genom dunklighet erbjuder skydd är att anta att ingen annan i världen kan upptäcka samma brister eller sårbarheter. Det verkar som ett dumt antagande.
Det faktum att du kanske inte vet hur man använder en pistol kommer inte att stoppa en oetisk eller omoralisk person som vet hur man använder en pistol från att skada dig. På samma sätt vet vi inte hur hacktekniker fungerar, inte skyddar dig från en oetisk eller omoralisk person som gör känna trick och tekniker från att hacka i ditt datorsystem eller orsaka annan skadlig skada på ditt nätverk eller dator.
Etik mot kunskap
Vad skiljer tjuvarna från detektiven och hackarna från säkerhetsadministratörerna är etik, inte kunskap. Du måste känna din fiende för att förbereda ett ordentligt försvar. Whitehat hackarna i världen har samma kunskap som världens blackhat hackare - de väljer helt enkelt att använda sin kunskap för etiska ändamål snarare än skadliga eller olagliga aktiviteter.
Några av whitehat hackare har gått på att starta företag som säkerhetskonsulter eller bilda företag som är dedikerade till att hjälpa andra företag att skydda sig från blackhat hackare i världen. Snarare än att tillämpa sin kunskap om olaglig verksamhet som kanske inte gör en snabb pengar, men de kommer definitivt att landa i fängelse väljer de att använda sin kunskap för att göra vad de älskar att göra medan man gör mycket pengar på att göra det - lagligt .
Några av dessa människor gör också vad de kan för att dela de tips, tricks och tekniker som används av hackare och crackers med resten av världen för att lära dem hur de ska försvara sig också. George Kurtz och Stuart McClure grundade säkerhetsbolaget Foundstone (senare köpt av McAfee). Dessa två informationssäkerhetsveteraner tillsammans med Joel Scambray, en IT-säkerhetskonsult till Fortune 50-företag, författade den mest sålda datorsäkerhetsboken Hacking Exposed, som nyligen släpptes i sin 6: e utgåva och ursprung för den mycket framgångsrika Hacking Exposed-serien.
Den 6: e upplagan av Hacking Exposed släpptes nyligen. Hacking Exposed skapade också en mycket framgångsrik serie av andra Hacking Exposed-titlar: Hacking Exposed - Wireless, Hacking Exposed - Linux, Hacking Exposed - Computer Forensics och mycket mer. Det finns också liknande böcker från andra författare som Hack Attacks Revealed av John Chirillo och Counter Hack Reloaded av Ed Skoudis.
Hacking Exposed anses av många vara den bästa boken om ämnet. Dessa tre herrar, med bidrag från många andra informationssäkerhetsexperter (de flesta arbetar också för Foundstone), har sammanställt en omfattande guide till metoder, knep och teknik som hackare använder för att komma in i ditt nätverk eller dator.
I förordet till boken Patrick Heim, vice vd för Enterprise Security för McKesson Corporation, skriver "nu när den svarta konsten av hacking har demoniserats, skulle jag argumentera för att det är viktigt för individer som ansvarar för att designa, bygga och underhålla information infrastruktur för att vara fullt medveten om de sanna hot som deras system kommer att behöva avstyra. "
När du ser en läkare, förväntar du dig att de ska diagnostisera dina symtom på rätt sätt och bestämma det verkliga problemet innan du ger råd eller föreskriver mediciner. För att kunna göra det måste doktorn vara fullt medveten om de olika hot som din kropp kan stöta på och vilka effektiva motåtgärder är för de specifika hoten.
Precis som en detektiv måste tänka som en tjuv för att fånga en tjuv och en läkare måste veta hur virus och sjukdomar fungerar och beter sig för att diagnostisera och motverka dem, förväntar vi oss en informationssäkerhetsexpert att vara expert på att använda tricks, verktyg och tekniker de blir uppmanade att försvara sig mot. Bara med den här kunskapen kan vi ärligt förvänta oss att någon ska kunna försvara sig mot hackare på ett adekvat sätt och upptäcka när och hur ett intrång inträffade om nätverket i själva verket äventyras.
Okunnighet är inte lycka till. Säkerhet genom dunklighet fungerar inte. Det betyder bara att de dåliga killarna vet saker som du inte gör och kommer att utnyttja din okunnighet till fullo varje möjlighet de får.
