Video: "Unsafe at any Speed" : The Truth about RECALLS | WheelHouse (Oktober 2024)
Ko varnostni profili privijte
Na konferenci RSA v San Franciscu na tleh je ekipa SecurityWatch vprašala nekaj največjih varnostnih imen o časih, ko so se zmotili. To je trezen opomnik, da smo vsi ljudje, in dober osvežilec za nekatere osnove varnosti.
Pozabi in oprosti sebi
Na vprašanje v "izpovednem" trenutku o času, ko je zajebal, ustanovitelju White Hat-a in glavnemu tehnološkemu direktorju Jeremiah Grossmanu ni bilo treba dvakrat razmišljati, preden je pripovedoval, kako je skoraj izgubil vse svoje šifrirane podatke. Ne na kramp, ne na delo pocukrane vladne agencije, ampak preprosto pozabljivost.
Grossman je bolečo epizodo že podrobno pripovedoval na svojem blogu White Hat, a se je znebil, ko jo je ponovno pripovedoval. Ker je človek, ki je varnostno naravnan, je šel v skrajnost, da bi zagotovil svoje podatke. "Usmerjen sem v napade, " je pojasnil, zato je vse svoje podatke shranil na šifriranih, virtualnih pogonih. "Kriptovalut AES-256, " je dejal Grossman. "NSA-grade." Težava je v tem, da je nekega dne ugotovil, da se preprosto ne more spomniti svojega gesla.
To ni bilo preprosto geslo; Grossman je dejal, da ima mentalni sistem, kar pomeni, da si lahko izmisli izjemno dolga gesla in jih ni treba nikoli zapisovati. Razen kadar jih je najbolj potreboval, je Grossman ugotovil, da se ne more v celoti spomniti kritičnega gesla. "Vedel sem, da me je pobegnilo šest znakov, " je dejal.
Na koncu je imel Grossman nekaj pomoči ustvarjalcev Johna Ripperja, ki so znali polomiti geslo in obnoviti njegove podatke. Zagotovo je bila to ponižujoča izkušnja in ponazarja, zakaj je lahko koristno varnostno kopiranje fizičnega gesla.
Prepiri se bodo nadaljevali, dokler se ne bo izboljšala morala
Na drugem koncu spektra je bil starejši vodja izdelkov podjetja Lookout Derek Halliday, ki je pripovedoval o posebni metodi podjetja za uveljavljanje varnih računalniških praks. Lookout izdeluje mobilni varnostni paket za Android, ki si je lansko leto prislužil izbiro urednika PC Magazine. Vendar se zdi, da je imelo podjetje težave z varnostjo, zaposleni pa so računalnike pustili brez nadzora, medtem ko so še vedno prijavljeni.
Čeprav se to v pisarni morda zdi majhna težava, pa to še pomeni, da bi lahko kdo obiskal in ukradel občutljive podatke. Ali še huje, sistemu, ki je odgovoren za zaščito milijonov mobilnih uporabnikov, dodal nekaj škodljive programske opreme.
Rešitev, ki jo Lookout uporablja, je tako elegantna in brutalna. Vsak zaposleni, ko opazi nezavarovani računalnik, se lahko sprehodi in pošlje e-poštno sporočilo iz naprave na poseben notranji seznam, ki ga podjetje širi, skupaj z dvomljivim sporočilom lastniku računalnika. Ta javno razkrije, kdo je zajebal in kako, zaradi česar je storilec postal pravi Hester Prinn iz pisarne.
Čeprav Halliday ni povedal, kako ali je bil osebno vpleten v to, ali če to deluje, se je strinjal z mojo ugotovitvijo, da je negativna okrepitev precej učinkovita. Vendar pa je to ena varnostna tehnika, upam, da se PC Mag ne bo odločil preizkusiti.
Ne pozabite biti na tekočem z več objavami iz RSA!
