Segurança por obscuridade significa que uma falha de segurança não é explorada por não ser conhecida, imagine um servidor de banco de dados com senha padrão acessível pela internet através de seu IP válido não tendo nenhum registro DNS de nenhum domínio apontando para este IP. O fato da senha de administrador do banco ser a senha padrãoé uma falha grave, mas ela não é explorada porque ninguém notou que ali há um banco de dados, isto acaba por proteger o sistema.

Este tipo de segurança não é confiável uma vez que depende da sorte, pois estatisticamente falando, quanto mais tempo passa maiores são as chances de alguém efetuar um Port Scan (como por exemplo o nmap) neste IP e descobrir o banco de dados lá, a primeira senha que eu tentaria seria a senha padrão, ai acabou a segurança.

É incrível como grandes corporações ainda contem com este tipo de segurança, que cá entre nós não é segurança alguma, veja abaixo um texto de mesmo título publicado pelo Mateus Del Bianco sobre o assunto.

Os tempos mudaram, a tecnologia evoluiu, e com ela também evoluíram os métodos para teste de segurança. A técnica utilizada há um tempo atrás, de proteger algo pelo fato de ninguém saber como funciona internamente, hoje não dá mais certo. E é impressionante como grandes empresas, como a Microsiga, ainda apostam na Segurança por Obscuridade.

Há uma semana atrás, a Microsiga resolveu implantar seu próprio sistema de Nota Fiscal Eletrônica, a popular NF-e. Mandaram um e-mail para todos os clientes, dizendo para clicar no link para acessar os dados. O problema estava no endereço do link (http://nfe.totvs.com.br/emp00/GU00xxxxUNE.HTM), onde não havia nenhuma proteção contra acessar notas fiscais de outros clientes. Era só trocar o número do arquivo de 0001 à 1859, que qualquer um poderia ver as notas de qualquer empresa.

Esse problema poderia ser simplesmente solucionado acrescentando alguns caracteres randômicos no nome de cada arquivo, por exemplo, GU000001UNE-09fbc20cb30230be8d.htm. Assim, só trocando o número da nota não seria suficiente para acessar outras notas, seria necessário também acertar os caracteres.

Problemas como esse acontecem em qualquer software. Nunca confie que seu usuário é leigo o suficiente para não tentar esse tipo de coisa. E é claro que, o problema acima foi comunicado à Microsiga, que retirou imediatamente o site do ar.