Video: RSA Key Generation, Signatures and Encryption using OpenSSL (Noiembrie 2024)
Când pro de securitate se înșurubează
În timp ce se afla la podea la Conferința RSA din San Francisco, echipa SecurityWatch a întrebat unele dintre cele mai mari nume în materie de securitate despre momentele în care au făcut o gafă. Este o amintire jalnică că suntem cu toții oameni și o reîmprospătare bună asupra unor elemente de bază ale securității.
Uitați și iertați (pe voi înșivă)
Atunci când a fost întrebat într-un moment „confesional” despre o perioadă în care a dat bătăi de cap, creatorul și șeful tehnologiei White Hat, Jeremiah Grossman, nu a trebuit să se gândească de două ori înainte de a povesti cum a pierdut aproape toate datele criptate. Nu la un hack, nu la activitatea unei agenții guvernamentale amețitoare, ci la uitare simplă.
Grossman a povestit deja amănunțitul episod în detaliu pe blogul lui White Hat, dar a păcălit în timp ce a povestit din nou. Fiind un om cu siguranță, se dusese la extreme pentru a-și asigura datele. „Sunt vizați de atacuri”, a explicat el, motiv pentru care a stocat toate informațiile sale pe unități virtuale criptate. "AES-256 crypto", a spus Grossman. „Lucruri de gradul NSA”. Problema este că, într-o zi, a descoperit că pur și simplu nu-și poate aminti parola.
Nu a fost o parolă simplă; Grossman a spus că are un sistem mental, ceea ce însemna că poate veni cu parole extrem de lungi și că nu trebuie să le scrie. Cu excepția uneia când a avut nevoie de ele cel mai mult, Grossman a descoperit că nu-și poate aminti în totalitate parola critică. „Știam că sunt de șase personaje”, a spus el.
Până la urmă, Grossman a avut ceva ajutor din partea creatorilor lui John the Ripper, care au reușit să-i crape parola și să-i refacă datele. A fost o experiență umilită, pentru a fi sigur, și una care ilustrează de ce poate fi util să ai o copie de rezervă a parolei fizice.
Păcatul va continua până când Morala se va îmbunătăți
Pe celălalt capăt al spectrului s-a aflat cel mai mare manager al produsului Lookout, Derek Halliday, care a povestit metoda particulară a companiei pentru aplicarea practicilor de calcul sigure. Lookout produce o suită de securitate mobilă pentru Android, care a câștigat alegerea editorului PC Magazine anul trecut. Cu toate acestea, se pare că compania a avut o problemă de securitate proprie, angajații lăsând computerele nesupravegheate în timp ce încă erau conectate.
În timp ce asta poate părea o preocupare minoră într-un birou, înseamnă că oricine ar fi putut veni și a furat informații sensibile. Sau, mai rău încă, a adăugat o bucată de malware la sistemul responsabil de protejarea a milioane de utilizatori de telefonie mobilă.
Soluția care folosește Lookout este la fel de elegantă și brutală. Orice angajat, când găsește un computer nesigur, poate merge în sus și trimite un e-mail de la mașină către o listă internă specială, care este difuzată întreaga companie, împreună cu un mesaj reproșabil către proprietarul computerului. Acest lucru declară în mod public cine a înșelat și cum, făcând infractorului un veritabil Hester Prinn al biroului.
Deși Halliday nu a spus cum sau dacă ar fi fost implicat personal cu acest lucru sau dacă funcționează, a fost de acord cu concluzia mea că întărirea negativă este destul de eficientă. Totuși, aceasta este o tehnică de securitate, sper că PC Mag nu decide să testeze.
Asigurați-vă că rămâneți la curent cu mai multe postări de la RSA!