Cos'è il Security Theatre?

Un buon esempio di sicurezza teatro (che ora è stato rimosso, probabilmente a causa del ridicolo) è Pagina di Wells Fargo che non fa altro che stato che sta stabilendo una connessione sicura, ecc.

Un esempio ancora migliore che è diffuso con molte istanze di security theater è Domande frequenti su PIN e password United :

• La sezione "Perché non posso digitare le mie risposte di sicurezza?" indica che esiste un elenco predefinito di risposte per le domande di sicurezza. Ciò risulta (come spiegato) dal loro stretto focus sull'unica minaccia che ritengono debba essere la più importante: i keylogger. Presentano quindi un campo di restrizione sulle risposte di sicurezza (che non richiedono la tastiera), che sono insicure in primo luogo a causa di Attacchi social .
• La sezione sull'uso del marketing delle domande di sicurezza indica che le risposte alle domande di sicurezza sono criptate. Questo è un teatro di sicurezza completo poiché, come detto sopra, le risposte sono predefinite. Cosa potresti proteggere con la crittografia?

Come il blogger di sicurezza Bruce Schneier spiega , il teatro della sicurezza o la sicurezza percepita, è non necessariamente una minaccia alla sicurezza reale se è al sicuro sulla sicurezza reale (ad esempio, se tutti i dati della pagina Wells Fargo vengono effettivamente trasmessi su una connessione sicura) invece di sostituire la sicurezza reale ( come se avessero mostrato quell'animazione su una pagina con componenti HTTP). Security Theatre può anche essere utile a volte, come i tag RFID Schneier menziona, che non fanno molto per fermare i criminali intelligenti, ma mettono a posto le menti delle persone su una minaccia che era minima per cominciare.

Tuttavia, se la gente inizia a fare affidamento troppo su una facciata di sicurezza (senza la vera sicurezza sottostante), Security Theatre può essere peggio che inutile, perché gli utenti rivelano informazioni private o eseguono altre azioni attendibili che possono essere disastrose in mani sbagliate.

Security Theatre è un processo o un meccanismo che rende utenti, sviluppatori, manager o altre parti interessate percepiscono un sistema come "più sicuro" senza in realtà fornire una protezione significativa contro qualsiasi minaccia reale. (O peggio ancora, la "misura di sicurezza" può effettivamente ridurre la sicurezza aprendo il sistema a nuovi attacchi.)

Esempi degni di nota includono sigilli di sicurezza sui siti web , requisiti di complessità della password eccessivamente complicati e disattivazione della copiatura sui campi della password .

Il teatro della sicurezza è una processione che, in un certo senso o in un altro, faccia pensare che ciò accresca la sicurezza mentre in realtà non lo fa (o almeno non molto).

Un esempio potrebbe essere il controllo di sicurezza presso i porti aerei che non hanno ancora bloccato i terroristi, ma che rendono le persone che percepiscono volare come al sicuro.

Questa non è una minaccia per la sicurezza per se stessa; può portare a una riduzione della sicurezza che aiuta davvero (perché, beh, "uno è già sicuro, perché la seccatura?") però.