Weil heute ein negativ Beispiel erlebt und vor kurzem angekuendigt, veroeffntliche ich hier die "Gesetze der IT-Sicherheit". Diese sind grundsaetzlich aus dem Buch "Stealing The Network - How To Own The Box" und werden beliebig von mir erweitert bzw ergaenzt. Dies sind die Regeln die unter "Appendix - The Law of Security" stehen auf deutsch uebersetzt:
-Client-Side Security funktioniert nicht
-man kann Verschluesselungs-Keys nicht sicher austauschen, ohne geteilte Informationen
-man kann sich nicht 100% gegen schaedlichen Quellcode schuetzen
-schaedlicher Quellcode kann komplett durch morphen an einer Signatur Erkennung (Antivieren Mechanismus) vorbeigeschleust werden
-Firewalls koennen nicht zu 100% vor Angriffen schuetzen
-jedes intrusion detection system (IDS) kann umgangen werden
-geheim gehaltene Verschluesselungsalgorithmen sind nicht sicher
-falls kein Passwort oder Schluessel benoetigt wird, wird keine Verschluesselung benutzt - es wird encoding benutzt
-Passwoerter koennen nicht sicher auf Clients gespeichert werden, solange nicht ein weiteres Passwort benutzt wird, um dieses zu schuetzen
-damit ein System als Sicher angesehen werden kann, muss es einem unabhaengigen Sicherheitscheck unterzogen werden
-Security through obscurity („Sicherheit durch Unklarheit“) funktioniert nicht!!!
