¿Qué es Security Theatre?

Un buen ejemplo de teatro de seguridad (que ahora ha sido retirado, probablemente debido a la burla) es La página de Wells Fargo que no hace más que indicar que está estableciendo una conexión segura, etc.

Un ejemplo aún mejor que abunda en muchos casos de teatro de seguridad es Preguntas frecuentes sobre PIN y contraseña de United :

• La sección "¿Por qué no puedo escribir mis propias respuestas de seguridad?" indica que hay una lista predefinida de respuestas para las preguntas de seguridad. Esto resulta (como se explicó) de su enfoque limitado en la única amenaza que creen que debe ser la más importante: los keyloggers. Por lo tanto, presentan un teatro de restricciones en las respuestas de seguridad (que no necesitan el teclado), que son inseguras en primer lugar debido a Ataques sociales .
• La sección sobre el uso de marketing de las preguntas de seguridad indica que las respuestas a las preguntas de seguridad están cifradas. Este es un teatro de seguridad completo, ya que, como se mencionó anteriormente, las respuestas están predefinidas. ¿Qué podría estar protegiendo al encriptarlos?

Como explica el bloguero de seguridad Bruce Schneier , teatro de seguridad o seguridad percibida, no necesariamente una amenaza para la seguridad real si está implementada sobre la seguridad real (por ejemplo, si todos los datos en esa página de Wells Fargo se transmiten a través de una conexión segura) en lugar de reemplazar la seguridad real ( por ejemplo, si mostraban esa animación en una página con componentes HTTP). En ocasiones, Security Theatre puede ser útil, como las etiquetas RFID que menciona Schneier, que no hacen mucho para detener a los delincuentes inteligentes, pero hacen que la gente se sienta cómoda con respecto a una amenaza que era mínima para comenzar.

Sin embargo, si las personas comienzan a confiar demasiado en una fachada de seguridad (sin la seguridad real subyacente), Security Theatre puede ser peor que inútil, porque los usuarios revelarán información privada o realizarán otras acciones de confianza que pueden ser desastrosas. las manos equivocadas.

Security Theatre es cualquier proceso o mecanismo que hace que los usuarios, desarrolladores, administradores u otras partes interesadas perciban un sistema como "más seguro" sin proporcionar realmente una protección significativa contra cualquier amenaza real. (O, lo que es peor, la "medida de seguridad" puede realmente disminuir la seguridad al abrir el sistema a nuevos ataques).

Los ejemplos notables incluyen sellos de seguridad en sitios web , requisitos de complejidad de contraseña excesivamente complicados , y deshabilitando el pegado en los campos de contraseña .

El teatro de seguridad es una procesión que, en un sentido u otro, permite que una persona piense que esto aumenta la seguridad, mientras que en realidad no lo hace (o al menos no mucho).

Un ejemplo podría ser los controles de seguridad en puertos aéreos que aún no han detenido a los terroristas pero que hacen que la gente perciba que volar es seguro.

Esto no es una amenaza para la seguridad por sí misma; puede llevar a una seguridad reducida que realmente ayuda (porque, bueno, "uno ya es seguro, ¿por qué la molestia?").