Steffen Dettmer, Mittwoch, 28. Dezember 2005 16:34:
Gefährlich an "Security by Obscurity" ist, dass es suggeriert, es wäre ein Unterschied - ist's aber nicht.
Man muß natürlich wissen, was man tut, klar.
Ein brauchbarer Portscanner bekommt SSH ganz einfach und sicher raus (SSH meldet sich ja entsprechend). Also "indirekt gefährlich". Jetzt, wo Du weniger scans siehst, denkst Du vielleicht, kurze Passwörter reichen ja doch - oder sowas in der Art.
Im Gegenteil - Leute, die meinen sshd auf einem krummen Port finden, sind gefährlicher als die, die es nur bis zum Port 22 schaffen.
Davon abgesehen: Die Verwendung eines Paßwortes oder eines Public Keys ist letztlich auch nur Security by Obscurity.
Nein, ist es nicht. Selbst wenn Du das Verfahren kennst, nützt es Dir nichts. Wenn ich weiss, das Dein SSH auf Port 30000 läuft, kann ich ihn angreifen, wie wenn er auf 22 laufen würde. Der Einzige Unterschied hier ist, ob ich den Algorithmus (port + 29978) kenne, oder nicht. Keine Sicherheit, weil solche Geheimnisse selten welche bleiben. Vielleicht liest die Angreiferin mit und korrgiert gerade den auto-rooter :)
Doch, es ist Security by Obscurity. Wenn ich den Port des sshd nicht kenne, dann muß ich ihn suchen. Das ist soviel wie ein brute force Angriff auf ein Paßwort mit 3-4 Stellen (26^3 = ca. 17.000, 26^4 = ca. 450.000; es gibt ca. 65.000 Ports). Nimm an, ich hätte ein Paßwort mit einem Buchstaben an Länge. Dann muß ich diesen Buchstaben finden, indem ich alle durchprobiere. Irgendwann habe ich ihn. Wären es zwei Buchstaben, dann suche ich eben etwas länger. Bei drei Stellen suche ich etwa so lange, wie ich brauche, den richtigen Port rauszufinden. Bei zehn Buchstaben suche ich dann eben noch etwas länger, und spätestens bei 30 Buchstaben wirds ungemütlich, aber ich brauche nur zu suchen, irgendwann habe ich auch dieses Paßwort geknackt, und zwar mit Sicherheit. Ebenso verhält es sich bei Public Key Verfahren. Algorithmus hin, Bekanntheit her: ich brauche nur zu suchen: irgendwann habe ich den Key erraten. Zwar reicht die gesamte verfügbare Energie dafür vermutlich nicht. Aber das ändert nichts am Prinzip. Es bleibt security by obscurity. -- Andre Tann