È sicuro rivelare informazioni sul sistema operativo e sul software che usi?

6

Come in quale sistema operativo utilizzi, è la versione ... ecc.

Ogni volta che vado in banca e vengo accolto con lo sportello automatico nella foto seguente, mi viene in mente questa domanda ... Oh, è ancora Windows XP fino alla scorsa settimana almeno

    
posta Ulkoma 09.10.2014 - 15:06
fonte

6 risposte

5

Penso che una domanda migliore potrebbe essere se non è sicuro per te rivelare quell'informazione a prescindere dal fatto che sia sicuro. Con l'esempio ATM, gli ATM utilizzano installazioni molto specifiche di Windows XP che sono molto resistenti e il computer stesso è generalmente protetto estremamente bene con vari livelli di sicurezza fisica che devono essere compromessi prima di poter accedere. Pertanto, anche se la macchina esegue un sistema operativo che può essere attaccato con vulnerabilità note, potrebbe comunque essere sicuro. Mentre il problema di XP non è un problema (ancora), immagino che ne sia uno più avanti, quando sempre più vulnerabilità cominciano a emergere. Questo è un articolo sull'argomento ATM specifico: link

Poiché la conoscenza del tuo sistema operativo può fornire informazioni sulle vulnerabilità del tuo PC, limitare tali informazioni può fornire un livello di "sicurezza attraverso l'oscurità". Anche se mantenere tali informazioni private può essere eccezionalmente difficile a seconda del tipo di ambiente in cui ti trovi. In generale, è meglio proteggere il tuo sistema con altri metodi: crittografia, password complesse a rotazione, buona sicurezza fisica, così i dispositivi possono uscire dalla porta o essere compromesso sul posto, aggiornare le patch, anti-malware, così come altre varie best practice, non aprire allegati casuali nella tua posta elettronica o navigare verso siti di phishing, ecc.

Quindi prendilo con un pizzico di sale quando la gente dice che è rischioso o pericoloso, poiché il rischio varia molto a seconda di questi fattori. Ciò che è "sicuro" abbastanza dipende solo da te.

    
risposta data 09.10.2014 - 16:55
fonte
7

In generale, non è più sicuro per rivelare le informazioni che tenerle da soli (ma questo ha delle eccezioni). Ma "non più sicuro" non significa "non sicuro". Se ciò accadrà che rivelare informazioni sul tuo sistema operativo e sul software non è sicuro (ad esempio aumenta significativamente i rischi), allora:

  1. Hai un problema, perché il tuo software ha buchi noti (altrimenti non sarebbe rischioso).
  2. Hai un problema, perché la tua sicurezza si basa sull'attaccante che non indovina quale software stai usando, cioè che l'attaccante non è competente nell'essere un attaccante.

Se tutto va bene, allora non dovrebbe importare se rivelare informazioni sul tuo sistema operativo e software o meno. In realtà, è stato sostenuto che rivelare tutti i dettagli è migliore perché consente a più persone di contribuire al miglioramento del sistema (questo è il mantra open-source, almeno). Una variante di questo tema è che la prospettiva che il codice sorgente venga alla fine pubblicato e mostrato al mondo intero aiuta lo sviluppatore a concentrarsi sul suo compito. (Quest'ultimo tende a fallire perché, come risulta, molti sviluppatori mancano di ogni senso di dignità e senso di autostima, e quindi non hanno alcuna costrizione a scrivere codice migliore quando ci si aspetta un esame esterno.)

Nel caso di uno sportello automatico con sistema operativo XP, il fatto che venga eseguito XP è importante solo per un utente malintenzionato che può effettuare connessioni di rete con quella macchina XP e, se può, può ottenere normalmente tali informazioni himself . Mostrare la schermata di login di XP dimostra ancora una mancanza di attenzione ai minimi dettagli da parte dello sviluppatore del sistema, il che è preoccupante (in generale).

    
risposta data 09.10.2014 - 19:14
fonte
2

Dipende da dove si trova il sistema, come è connesso, ecc. Ci sono un sacco di modi per determinare un sistema operativo, ogni volta che visiti un sito web, usi internet, il tipo di browser e amp; sia la versione che altri software possono essere rintracciati in un sistema operativo così come le opzioni TCP, i tempi, insieme a una moltitudine di altri comportamenti fino al rilevamento dell'indirizzo MAC del dispositivo al fornitore e alla creazione di ipotesi basate su tale. Alcuni passivamente, alcune sonde interattive e rilevabili, ma quasi sempre un modo per capirlo se sai cosa stai facendo.

Penso che troppe discussioni siano in discussione freudiana sul mio sistema operativo superiore al tuo sistema operativo. Ci sono alcuni pro e contro evidenti a quasi tutto, ma la mitigazione delle minacce non riguarda sempre il blocco della porta, ma quello che si lascia dietro la porta.

Ad esempio, un ladro può rompere la mia finestra per entrare a casa mia, ma farà poco con i miei oggetti di valore perché sono in una cassastrong di 900 #.

Quindi potrebbe avere la mia TV, ma non otterrà i gioielli di mia moglie o le mie pistole.

La stessa logica dovrebbe essere applicata alla sicurezza del computer, nel qual caso un attaccante può SAPERE prima del tempo che ho questa cassastrong, vieni pronto a violarlo, ma la sofisticazione di quel tipo di attacco significa che sono venuti preparati e qualificati, quindi fare qualcosa come nascondere la cassastrong sarebbe stato in gran parte irrilevante.

Con ragionevole dovuta diligenza, si potrebbe trovare un modo per quasi tutto se vogliono, avere le competenze e le risorse. Ma i vecchi sistemi operativi non sono sempre male in questo senso. Sono temprati, estremamente ben collaudati e molto conosciuti internamente. IE, più capita anche dai bravi ragazzi:)

Mi sarei fidato di un bancomat su un'installazione di Windows XP, non sulla tua vita, ma posso creare un'immagine Windows XP incorporata farei affidamento, certo.

dovrei distribuirli entrambi apertamente senza IPS e sistema IDS tra loro e qualsiasi cosa connessa remotamente, senza dubbio NO!

Allora a quel punto un walker casuale avrebbe qualche vantaggio perché ha visto la schermata di avvio? Molto molto poco se ce ne sono.

    
risposta data 09.10.2014 - 17:02
fonte
2

Nascondere queste informazioni sarebbe "sicurezza per oscurità". Pur rendendo le informazioni più difficili da trovare, non è impossibile.

Probabilmente non c'è alcun valore nel presentare queste informazioni sullo schermo ATM ai clienti, ed è più un problema di UX. Come cliente bancario, mi preoccupo solo delle protezioni e delle garanzie antifrode. In termini di ATM in sé, non penso che stiano dimostrando così i clienti diranno "I trust windows". I buoni fattori per fidarsi di un bancomat potrebbero essere la posizione, la difficoltà di aggiungere skimmer, ecc.

Dal punto di vista dell'attaccante: Probabilmente dispongono di una vasta serie di strumenti per diversi tipi di sportelli automatici o che prendono di mira specifici sportelli automatici. Se si rivolgono a un ATMS specifico, è più probabile che determineranno quale sistema operativo, banca, fornitore o rete utilizzano e quindi troveranno questi sportelli bancomat per tentare di passare a ATM-to-ATM per creare il loro elenco di destinazione.

In breve: c'è poco valore nel mostrare queste informazioni, e nasconderlo non avrà un grande impatto nel ridurre gli attacchi.

    
risposta data 09.10.2014 - 17:57
fonte
2

Qualsiasi informazione fornita a terzi potrebbe potenzialmente essere utilizzata contro di te in qualche modo, il che non equivale a dire che fornire le informazioni ti rende necessariamente non sicuro o meno sicuro.

Durante la progettazione di sistemi non devi mai fare affidamento sui segreti per tenerti al sicuro. Un sistema veramente sicuro è sicuro anche quando tutti i segreti sono rivelati, ad eccezione dei tasti (digitali o analogici).

    
risposta data 09.10.2014 - 22:50
fonte
1

Generalmente non è sicuro farlo. Se un utente malintenzionato sa esattamente quali versioni del software stai utilizzando, è più facile trovare un exploit contro di te.

Questo è più problematico nei sistemi di accesso pubblico, come l'ATM a cui ti riferivi. Usare un sistema operativo obsoleto, senza aggiornamenti di sicurezza, è rischioso almeno.

    
risposta data 09.10.2014 - 15:10
fonte

Leggi altre domande sui tag