CWE ID: 656
Name: Reliance on Security Through Obscurity
Das Produkt verwendet einen Schutzmechanismus, dessen Stärke stark von seiner Verschwiegenheit abhängt, sodass Kenntnis seiner Algorithmen oder Schlüsseldaten ausreicht, um den Mechanismus zu umgehen.
Diese Abhängigkeit von “security through obscurity” kann zu resultierenden Schwachstellen führen, falls ein Angreifer in der Lage ist, die inneren Abläufe des Mechanismus zu reverse engineer. Obscurity kann zwar ein kleiner Bestandteil einer “defense in depth” sein, da sie einem Angreifer zusätzliche Arbeit bereiten kann; sie stellt jedoch ein erhebliches Risiko dar, wenn sie als primäres Schutzmittel eingesetzt wird.
Effektivität: Unknown
Beschreibung: Berücksichtigen Sie stets, ob Kenntnis Ihres Codes oder Designs ausreicht, um ihn zu kompromittieren. Reverse Engineering ist eine äußerst erfolgreiche Disziplin und finanziell realisierbar für motivierte Angreifer. Es existieren etablierte “black-box” Techniken für die binäre Analyse von Executables, die “obfuscation” verwenden, die “runtime” Analyse proprietärer Protokolle, das Ableiten von Dateiformaten und andere Methoden.
Effektivität: Unknown
Beschreibung: Nutzen Sie, wann immer möglich, öffentlich geprüfte Algorithmen und Verfahren, da diese einer umfangreicheren Sicherheitsanalyse und Tests unterzogen wurden. Dies gilt insbesondere für “encryption” und “authentication”.
