Videó: Алгоритм шифрования RSA (November 2024)
Amikor a biztonsági profik csavarodtak fel
Miközben a San Francisco-i RSA konferencián volt a padlón, a SecurityWatch csapata megkérdezte a biztonság legnagyobb nevét, amikor összecsaptak. Ez egy józan emlékeztető arra, hogy valamennyien emberek vagyunk, és jó frissítést kínálunk néhány biztonsági alapon.
Felejtsd el és bocsáss meg (magad)
Amikor "vallási" pillanatban megkérdezték, hogy mikor csapkodott fel, a White Hat alapítójának és Jeremiah Grossman technológiai vezérigazgatójának nem kellett kétszer is elgondolkodnia, mielőtt elmondta, hogy majdnem elvesztette minden rejtjelezett adatát. Nem egy csapkodásra, nem egy szippantó kormányhivatal munkájára, hanem egyszerű feledékenységre.
Grossman már részletesen elmesélte a fájdalmas epizódot a White Hat blogjában, de elvigyorodott, miközben újra elmondta. Biztonsági gondolkodású ember volt, és szélsőségekbe ment az adatok védelme érdekében. "Támadásokat célozok meg" - magyarázta, ezért az összes információt titkosított, virtuális meghajtón tárolta. "AES-256 kriptográfia" - mondta Grossman. "NSA-minőségű cucc." A baj az, hogy egy nap rájött, hogy egyszerűen nem emlékszik a jelszavára.
Ez nem volt egyszerű jelszó; Grossman azt mondta, hogy van egy mentális rendszere, ami azt jelenti, hogy rendkívül hosszú jelszavakkal állhat elő, és soha nem kell ezeket leírnia. Azon esetek kivételével, amikor leginkább szükségük volt rájuk, Grossman rájött, hogy nem tudta teljes mértékben felidézni a kritikus jelszót. "Tudtam, hogy hat karakterből állok távol" - mondta.
Végül Grossman kapott némi segítséget a Ripper János alkotóitól, akik meg tudták repedni a jelszavát és visszaállítani az adatait. Bizonyára megalázó élmény volt, és bemutatja, miért lehet hasznos a fizikai jelszó biztonsági mentése.
A remegés addig folytatódik, amíg a morál nem javul
A spektrum másik végén a Lookout vezető termékmenedzsere, Derek Halliday volt, aki elmondta a vállalat sajátos módszerét a biztonságos számítási gyakorlatok érvényesítésére. A Lookout egy mobil biztonsági szettet állít elő az Android számára, amely tavaly elnyerte a PC Magazine szerkesztőjének választását. Úgy tűnik azonban, hogy a vállalatnak saját biztonsági problémája volt, amikor az alkalmazottak felügyelet nélkül hagyták számítógépüket, miközben még bejelentkeztek.
Noha ez kisebb jelentőségűnek tűnik irodai környezetben, ez azt jelenti, hogy bárki megjelent volna, és ellophatott érzékeny információkat. Vagy ami még rosszabb, hozzátette néhány darab rosszindulatú szoftvert a rendszerhez, amely a mobil felhasználók millióinak védelméért felelős.
A Lookout által alkalmazott megoldás ugyanolyan elegáns, mint brutális. Bármely alkalmazott, amikor egy nem biztonságos számítógépet észlel, felmehet, és e-mailt küldhet a gépről egy speciális belső listára, amelyet az egész társaság sugároz, és a számítógép tulajdonosának kifogó üzenetet küld. Ez nyilvánosan kijelenti, hogy ki csapta be és hogyan, és az elkövető igazi Hester Prinnnek lett az irodában.
Bár Halliday nem mondta, hogy hogyan vagy ha személyesen foglalkozott vele, vagy ha ez működik, egyetértett azzal a következtetéssel, hogy a negatív megerősítés elég hatékony. Remélem azonban, hogy ez az egyik biztonsági technika, a PC Mag nem dönt a tesztelésről.
Feltétlenül tartsa naprakészen az RSA többi hozzászólását!
