Głębokie ukrycie

Głębokie ukrycie (zagłębienie, niejawna lokalizacja) – praktyka ochrony danych komputerowych, polegająca na umieszczeniu ich w nieprzewidywalnej i trudnej do odgadnięcia dla przeciętnego użytkownika ścieżce dostępu, zazwyczaj połączone z ukryciem faktu zapisania danych w tejże lokalizacji. Głębokie ukrycie nie jest metodą ochrony czynnej, gdyż nie zabezpiecza przed dostępem do danych; jest natomiast sposobem steganografii, czyli ukrywania istnienia niejawnego pliku. Dostęp do tak chronionych danych posiada każdy, który dysponuje ścieżką dostępu. Z tego też tytułu w bardziej wymagających przypadkach stosowane jest najczęściej wraz z metodami kryptograficznymi, choć nie jest to regułą.

Spis treści

Przykłady głębokiego ukrycia

W większości wypadków pliki z danymi osiągalnymi przez użytkownika znajdują się w katalogu głównym witryny oraz tematycznych podkatalogach i posiadają nazwy jednoznacznie określające przeznaczenie i typ pliku. Dla przykładu:Plik poddany głębokiemu ukryciu ma z definicji nazwę oraz lokalizację zupełnie nieprzewidywalną, co ma rzekomo utrudnić jego rozpoznanie:Dodatkowo ukrywany jest przed wyświetlaniem w indeksie katalogów, przygotowywanym zwykle przez serwer WWW (jeśli ta opcja jest w ogóle włączona). Tym sposobem zakłada się, iż tylko osoby znające dokładny adres do pliku będą w stanie go odczytać.

W klasycznej definicji głębokiego ukrycia ukrywana informacja jest niejawna lub przeznaczona dla ścisłego grona odbiorców. Nie można zatem nazwać głębokim ukryciem ukrywania np. nazw przechowywanych plików, jeśli te mają być wyświetlane na dowolnym komputerze w sposób inny, niż bezpośrednie otwarcie pliku (dane przechowywane przez CMS-y, systemy forów dyskusyjnych, agregacji pamięci podręcznej i podobne), choć nierzadko błędnie używa się tutaj tej nazwy.

Pochodzenie nazwy oraz przykłady złej implementacji



Nazwa "głębokie ukrycie" powstała od określenia, którym pierwszy raz nazwał tę metodę przedstawiciel PKO Banku Polskiego po wykryciu w swoich systemach użycia jej do zabezpieczenia poufnych danych, co spowodowało udostępnienie ich w Internecie[1][2].

Innym znanym przykładem nienależycie wykonanej implementacji głębokiego ukrycia była baza podań o pracę dwóch internetowych pośredników pracy: Terazpraca.pl i Loccoevent.pl[3]. Błędów w wykonaniu tego rodzaju technik dopatruje się także w poważanych, zagranicznych serwisach[4], a także na stronach wsparcia frameworków, języków programowania oraz systemów zarządzania treścią[5].

Ze względu na fakt, iż głębokie ukrycie nie zabezpiecza przed dostępem do danych, a jedynie ukrywa fakt ich istnienia, nie powinno być ono jedynym stosowanym zabezpieczeniem. Błędem jest tutaj zakładanie, że nieprzewidywalna dla człowieka nazwa stanowi wystarczające zabezpieczenie. W celu zwiększenia jego skuteczności należy korzystać z technik pomocniczych, jak wyłączenie generowania indeksu plików w głęboko ukrytym katalogu, a także zablokowanie indeksowania katalogu przez wyszukiwarki. Zasoby nie powinny być też dostępne dłużej niż jest to konieczne (ze względu na rosnące prawdopodobieństwo odkrycia adresu zasobu). Ponadto dostęp do poufnych danych musi być kontrolowany (Autoryzacja, rejestr pobrań).

Zobacz też

Bezpieczeństwo teleinformatyczne

Bibliografia

Głębokie ukrycie, Wikipedia pl
ostatnia modyfikacja 20 sierpnia 2016 r.