Video: Brug de rigtige skruer i gipsvæggen (Oktober 2024)
Når sikkerhedsprofesser skrues op
Mens det var på gulvet på RSA-konferencen i San Francisco, har SecurityWatch-teamet spurgt nogle af de største navne inden for sikkerhed om de tidspunkter, hvor de har tabt sig. Det er en nøgtern påmindelse om, at vi alle er mennesker, og en god forfriskning på nogle sikkerhedsgrundlæggende.
Glem og tilgiv (dig selv)
Da han blev spurgt i et "konfessionelt" øjeblik om et tidspunkt, hvor han skruede op, behøvede White Hats grundlægger og teknologichef Jeremiah Grossman ikke at tænke to gange, før han fortællede, hvordan han næsten mistede alle sine krypterede data. Ikke til et hack, ikke til arbejdet med et snuskende regeringsagentur, men enkel glemsomhed.
Grossman har allerede fortalt den smertefulde episode detaljeret på White Hat's blog, men grimaseret, mens han igen fortæller den. Da han var en sikkerhedsindstillet mand, var han gået til ekstreme for at sikre sine data. ”Jeg er målrettet mod angreb, ” forklarede han, hvorfor han lagrede alle sine oplysninger på krypterede, virtuelle drev. "AES-256 crypto, " sagde Grossman. "NSA-grade ting." Problemet er, en dag fandt han ud af, at han simpelthen ikke kunne huske sit kodeord.
Dette var ikke en simpel adgangskode; Grossman sagde, at han havde et mentalt system, hvilket betød, at han kunne komme med ekstremt lange adgangskoder og aldrig behøver at skrive dem ned. Bortset fra den ene gang, han havde mest brug for dem, fandt Grossman, at han ikke helt kunne huske den kritiske adgangskode. ”Jeg vidste, at jeg var ude af seks karakterer, ” sagde han.
I sidste ende havde Grossman hjælp fra skaberne af John the Ripper, der var i stand til at knække hans adgangskode og gendanne hans data. Det var en ydmyg oplevelse, for at være sikker, og en, der illustrerer, hvorfor det kan være nyttigt at have en fysisk adgangskode på backup.
Skamningen fortsætter, indtil moralen forbedres
I den anden ende af spektret var Lookouts Senior Product Manager, Derek Halliday, der fortalte om virksomhedens særegne metode til håndhævelse af sikker computerpraksis. Lookout producerer en mobil sikkerhedssuite til Android, som tjente PC Magazines redaktørens valg sidste år. Det ser dog ud til, at virksomheden havde et eget sikkerhedsproblem, hvor medarbejderne forlod deres computere uden opsyn, mens de stadig var logget ind.
Selvom det kan virke som en mindre bekymring i et kontor, betyder det dog, at enhver kunne have været med og stjålet følsomme oplysninger. Eller, værre endnu, tilføjede et stykke malware til systemet, der er ansvarligt for at beskytte millioner af mobile brugere.
Løsningen, som Lookout bruger, er lige så elegant, som den er brutal. Enhver medarbejder, når man ser en usikret computer, kan gå lige op og sende en e-mail fra maskinen til en speciel intern liste, der sendes virksomheden bredt sammen med en irettesættende meddelelse til computerens ejer. Dette erklærer offentligt, hvem der har skruet fast og hvordan, hvilket gør lovovertræderen til en ægte Hester Prinn på kontoret.
Selvom Halliday ikke sagde, hvordan eller om han personligt havde været involveret i dette, eller om det fungerer, var han enig i min konklusion om, at negativ forstærkning er ret effektiv. Dette er dog en sikkerhedsteknik, jeg håber, at PC Mag ikke beslutter at teste.
Sørg for at holde dig opdateret om flere af vores indlæg fra RSA!
