Zvezek rsac: ponedeljek

Konferenca RSA postaja vsako leto večja, na njej pa se lahko srečuje več podjetij, več tehnoloških demonstracij in več pronicljivih sej. Vendar je eden glavnih razlogov, da vsako leto hodim po državi, zaradi pogovorov zunaj formalnih okvirov konference. Izjava o zajtrku zaradi zajtrka, kratek pogovor na hodniku o nečem, kar je nekdo videl ali slišal, ali pa živahna razprava na enem izmed številnih družabnih dogodkov med tednom.

Tu je kratki posnetek, kako je izgledal moj zvezek konec dne, v ponedeljek, 24. februarja.

Zaseden, zaseden, zaseden

Konferenca se uradno ne začne, dokler Art Coviello v torek ne bo odprl glavnega besedila, vendar pa se o varnosti okoli Moscone Center v San Franciscu veliko pogovarja in razmišlja o varnosti. Pravzaprav na razstavi sponzorira ali razstavlja 400 prodajalcev, več kot 500 govorcev in približno 25.000 udeležencev. Nimam pojma, kje je že kaj več in treba bi se znova učiti geografije RSAC. Mogoče je treba kaj povedati za manjše, regionalne, bolj intimne oddaje.

Varnostno kodiranje

Projekt za varnost odprtih spletnih aplikacij (OWASP) je v Jillian-u (baru v bližini Moscone-a) izvedel brezplačno vadbo o praksah varnega kodiranja, ki se je je lahko udeležil kateri koli RSAC-ov udeleženec. Seja je bila polna splošnih informacij o vrsti spletnih groženj, ki jih morajo razvijalci zagovarjati. Še bolje, voditelja poglavij Jim Manico in Eoin Keary sta ponudila zelo praktične nasvete za kodiranje za več glavnih jezikov in okvirov, vključno z Ruby, Java, Cold Fusion in Perl. Zanima me, ali so bili natakarji res pozorni na sejo ali so bili zgolj osredotočeni na to, da so pijače tekle.

Samodejni optični bralniki lahko pomagajo najti ranljivosti v kodi. To je super, kajne? Ni nujno, ker avtomatizirani bralniki ne morejo upoštevati poslovnega konteksta ali vedno obravnavati specializirane primere uporabe. S pregledom kode morate še kdo iti skozi programsko logiko in uporabiti primere poslovne uporabe. To spomni na nedavno Appleovo ranljivost SSL v iOS in Mac OS X. Napaka gotofail je bila napaka, vendar jo je pregled kode morda dojel, preden postane potencialna težava za uporabnike.

Od zasedanja OWASP: "Roboti zaznajo znane neznanke. Ljudje zaznajo neznane neznanke."

Najboljši hekerski filmi

Ko je Rick Howard, predstavnik civilne družbe Palo Alto Networks, in sem govoril o knjigah, ki bi jih morali brati strokovnjaki za informacijsko varnost, smo se premaknili izven teme v filme. Howard razpravlja o tej temi v četrtek.

Kaj je torej vrhunski informacijski varnostni film vseh časov?

Howard je dejal, kateri film je vrh ima veliko povezave s generacijo, s katero se človek najbolj identificira. Najboljši film, kar se njega tiče, so bile Vojne igre . Naslednja generacija strokovnjakov za infoseke bi verjetno trdila, da so najboljši hekerji . Tisti, še mlajši, pa bi lažje poimenovali film Matrix . Ker je Matrix trdno v taborišču Hackers , čeprav imam rad vojne igre , se zdi, da je malo na mestu.

S Twitterja

Eden od področij, ki sem ga pogrešal, je bil tisti, ki ga je o odpravljanju vrzeli v kibernetski varnosti moderiral Javvad Malik, višji analitik 451 raziskav. Twitter ima naslednji dragulj s panela: Jane Lute, predsednica in izvršna direktorica Sveta za kibernetsko varnost, ki pravi: "Pišemo opise delovnih mest, ki so nerealni."

Naborniki se pogosto pritožujejo nad razlikami v znanju, da ne najdejo kandidatov, ki bi ustrezali zahtevam za delo. Toda problem v resnici ni v pomanjkanju usposobljenih kandidatov, temveč v tem, da se naborniki sprašujejo za znanje, kot je 15-letna izkušnja z varovanjem sistema Windows 7.

Pekoče vprašanje

Se bo Art Coviello lotil tajne pogodbe v vrednosti 10 milijonov dolarjev, ki naj bi jo RSA Security v torek v uvodnem besedilu imela z Nacionalno varnostno agencijo?