Безопасность через неясность: новые перспективы

Бывший ведущий научный сотрудник компании RSA Labs Ари Джуелс продолжает любопытные изыскания в области защиты данных. Вместо того чтобы максимально затруднить киберпреступникам доступ к информации, Джуелс предлагает сосредоточиться на том, чтобы, напротив, снабжать их максимальным объемом данных, в потоке которых истинные невозможно отличить от ложных. Этот подход может быть отнесен к концепции так называемой «безопасности через неясность» (Security through obscurity).

Годом ранее Джуелс в соавторстве с Роналдом Ривестом (одним из создателей криптографического алгоритма RSA) опубликовал работу, в которой был предложен оригинальный способ защиты баз данных учетных записей и паролей. Джуелс и Ривест предлагали создавать в базе множество фиктивных учетных записей с ложными паролями, которые они назвали honeywords. При взломе базы такой подход имеет два преимущества. Во-первых, хакерам почти невозможно сразу же выбрать верную пару «логин-пароль». А во-вторых, администратор будет уведомлен о попытках входа в систему по фиктивной учетной записи, что послужит стопроцентным доказательством взлома.

Теперь Ари Джуелс решил развить эту идею. Совместно с Томасом Ристенпартом из Университета Висконсина он предлагает пойти еще дальше. И в случае, если хакер пытается войти в систему по фиктивной записи, следует не блокировать, а разрешить ему доступ. Вот только вместо реальной информации киберпреступник в этом случае будет иметь дело с фальшивой. Так, попытка получить сохраненный номер банковской карты пользователя приведет к тому, что хакер получит некий номер. Очень похожий на настоящий, но не имеющий к реальности никакого отношения.

По мнению авторов, такой подход вынудит хакеров опустить руки. Раз за разом получая неверную информацию, они, в конечном итоге, не воспримут всерьез и реальную – в том маловероятном случае, если им все же удастся подобрать изначально верную пару «логин-пароль». В настоящее время Джуелс работает над созданием генератора фиктивных данных для своей системы защиты, получившей название Honey Encryption.