La sicurezza attraverso l’oscurità è una filosofia che suggerisce l’offuscamento e la segretezza come mezzo primario per garantire la sicurezza del sistema o delle informazioni. L’assunto di base è che se solo poche persone fidate comprendono il funzionamento di un sistema di sicurezza, il sistema è generalmente semplice. Alcuni metodi comunemente usati per la sicurezza attraverso l’oscurità includono la codifica dei dati o la creazione di informazioni proprietarie attraverso la protezione del copyright. Alcuni esperti suggeriscono, tuttavia, che questo metodo è semplicemente un’illusione e potrebbe effettivamente rendere i programmi e i sistemi informatici più vulnerabili agli hacker.
Il principio di base della sicurezza attraverso l’oscurità è abbastanza semplice: se i dati sono tenuti segreti, nessuno al di fuori della protezione del segreto può trovarli. In qualche modo simile a nascondere i soldi sotto un materasso, questo concetto funziona egregiamente finché nessun avversario inaffidabile sa che il denaro è nel materasso. L’utilizzo di tecniche che oscurano i dati o che consentono solo a persone autorizzate di accedere alla codifica o agli algoritmi di sicurezza può aiutare a proteggere la conoscenza dall’essere resa pubblica e quindi soggetta alla sconfitta.
Alcuni dei metodi utilizzati per la sicurezza attraverso l’oscurità includono il mascheramento dei dati. Ad esempio, se un file è denominato “password aziendali”, è vulnerabile a facili attacchi. La modifica dei nomi dei file in termini innocui o codificati può aiutare ad aggiungere una piccola misura di sicurezza. Metodi simili possono includere l’uso di codice offuscato, che maschera le informazioni protette codificandole in un formato insolito. Un metodo comune include nascondere il fatto che esiste anche un computer o un server, consentendo solo agli utenti designati di accedervi. Poiché l’esistenza del computer è sconosciuta, si spera generalmente che un hacker non sappia cercarlo.
Le tecniche proprietarie sono mezzi comuni per proteggere software e sistemi operativi dall’oscurità. Limitando legalmente e praticamente l’accesso ai dati del programma a persone designate, alcuni sviluppatori di software sperano di scoraggiare gli hacker e spaventare chiunque tenti di esporre le informazioni di sicurezza. In alcuni casi, un utente può legittimamente scoprire un difetto di sicurezza e chiedere all’azienda di fornire una patch, solo per ricevere minacce di azioni legali nel caso in cui dovesse esporre il difetto al pubblico. In questo modo, uno sviluppatore può essere in grado di impedire la diffusione della conoscenza delle falle di sicurezza, fornendo così alcuni mezzi di protezione. I lavoratori a cui sono affidate le informazioni sulla sicurezza possono anche dover firmare accordi di non divulgazione, che possono legalmente vietare loro di rilasciare informazioni sulla sicurezza anche dopo aver lasciato il lavoro.
Sebbene la sicurezza attraverso l’oscurità possa essere utile come parte di un sistema di sicurezza globale, di per sé può portare a vulnerabilità sconcertanti. L’utilizzo di metodi di oscurità di base, come la protezione di file e nomi utente, può funzionare al meglio in combinazione con metodi come la protezione tramite password e firewall potenti. Alcuni esperti di computer pubblicizzano anche il valore della sicurezza trasparente, suggerendo che un forte sistema di sicurezza completamente aperto agli utenti significa che i punti deboli verranno rapidamente rilevati e protetti.