Дом Securitywatch Rsa: когда профессионалы безопасности облажаются

Rsa: когда профессионалы безопасности облажаются

Видео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Ноябрь 2024)

Видео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Ноябрь 2024)
Anonim

Когда специалисты по безопасности облажались

Находясь на конференции RSA в Сан-Франциско, команда SecurityWatch спрашивала некоторых из крупнейших имен в области безопасности о тех временах, когда они ошибались. Это отрезвляющее напоминание о том, что мы все люди, и хорошее знание некоторых основ безопасности.

Забудь и прости себя

Когда его спросили в «конфессиональный» момент о времени, когда он облажался, основателю и главному техническому директору White Hat Джереми Гроссману не пришлось дважды подумать, прежде чем он рассказал, как он почти потерял все свои зашифрованные данные. Не для взлома, не для работы правительственного агентства, а просто забывчивость.

Гроссман уже подробно рассказал о болезненном эпизоде ​​в блоге White Hat, но поморщился, пересчитывая его снова. Будучи человеком безопасности, он пошел на крайние меры, чтобы защитить свои данные. «Я нацелен на атаки», - пояснил он, поэтому он хранил всю свою информацию на зашифрованных виртуальных дисках. «Крипто AES-256», - сказал Гроссман. "NSA-класс". Проблема в том, что однажды он обнаружил, что просто не может вспомнить свой пароль.

Это был не простой пароль; Гроссман сказал, что у него есть умственная система, которая означает, что он может придумывать очень длинные пароли и никогда не записывать их. За исключением одного раза, когда он нуждался в них больше всего, Гроссман обнаружил, что не может полностью вспомнить критический пароль. «Я знал, что у меня шесть персонажей», - сказал он.

В конце концов, Гроссману была некоторая помощь от создателей Джона Потрошителя, которые смогли взломать его пароль и восстановить его данные. Конечно, это был унизительный опыт, который иллюстрирует, почему полезно иметь резервную копию физического пароля.

Shamings будет продолжаться, пока моральное состояние не улучшится

На другом конце спектра находился старший менеджер по продуктам Lookout, Дерек Хэллидей, который рассказал об особом методе компании по обеспечению соблюдения правил безопасных вычислений. Lookout выпускает пакет мобильной безопасности для Android, который в прошлом году был выбран редактором журнала PC Magazine. Однако, похоже, что у компании были собственные проблемы с безопасностью: сотрудники оставляли свои компьютеры без присмотра, пока они вошли в систему.

Хотя это может показаться незначительной проблемой в офисе, это означает, что любой мог прийти и украсть конфиденциальную информацию. Или, что еще хуже, добавил в систему какую-то вредоносную программу, отвечающую за защиту миллионов мобильных пользователей.

Решение, которое использует Lookout, столь же элегантно, как и брутально. Любой сотрудник, обнаружив незащищенный компьютер, может подойти и отправить электронное письмо с аппарата в специальный внутренний список, который транслируется всей компанией, вместе с укоризным сообщением владельцу компьютера. Это публично заявляет, кто облажался и как, превращая преступника в настоящую Эстер Принн из офиса.

Хотя Хэллидей не сказал, как или он лично с этим связан, или, если это работает, он согласился с моим выводом, что отрицательное подкрепление весьма эффективно. Тем не менее, это одна из техник безопасности, которые, я надеюсь, PC Mag не решит протестировать.

Будьте уверены, чтобы оставаться в курсе других наших сообщений от RSA!

Rsa: когда профессионалы безопасности облажаются