Rsa: коли проф

Коли плюси безпеки накрутіть

Перебуваючи на підлозі на конференції RSA в Сан-Франциско, команда SecurityWatch запитала деяких з найбільших імен у галузі безпеки про часи, коли вони згрішили. Це тверезо нагадування про те, що ми всі люди, і хороше оновлення деяких основ безпеки.

Забути і пробачити себе

На його запитання у "конфесійний" момент про час, коли він викрутився, Засновнику "Білого капелюху" та головному директору з технологій Єремії Гроссману не довелося думати двічі, перш ніж він переказав, як майже втратив усі свої зашифровані дані. Не на злом, не на роботу снучого урядового відомства, а на просту забудькуватість.

Гроссман уже детально переказав хворобливий епізод у своєму блозі White Hat, але скривився, переказуючи його ще раз. Будучи впевненим у безпеці, він пішов до крайності, щоб захистити свої дані. "Я націлений на атаки", - пояснив він, через що всю свою інформацію він зберігав на зашифрованих, віртуальних дисках. "Криптовалюта AES-256", - сказав Гроссман. "Речовини з NSA". Проблема полягає в тому, що одного разу він виявив, що просто не може запам'ятати свій пароль.

Це був не простий пароль; Гроссман сказав, що у нього є психічна система, що означає, що він може придумати надзвичайно довгі паролі і ніколи не повинен їх записувати. За винятком одного разу, коли він їм найбільше потрібен, Гроссман виявив, що не може повністю пригадати критичний пароль. "Я знав, що я пройшов, на кшталт шести персонажів", - сказав він.

Зрештою, Гроссман отримав деяку допомогу від творців Джона Розпушувача, які змогли зламати свій пароль і відновити його дані. Безумовно, це був прискіпливий досвід, який ілюструє, чому може бути корисним резервне копіювання фізичного пароля.

Суперечки триватимуть, поки мораль не покращиться

На іншому кінці спектру був старший менеджер продуктів Lookout, Дерек Халлідей, який розповів про своєрідний метод компанії щодо застосування безпечних обчислювальних методів. Lookout виробляє мобільний набір безпеки для Android, який заробив вибір редактора журналу PC Magazine минулого року. Однак, схоже, що у компанії була своя проблема безпеки, коли працівники залишали свої комп’ютери без нагляду, поки вони все ще входили в систему.

Хоча це може здатися незначним занепокоєнням в офісних приміщеннях, це означає, що хто-небудь міг зібратися та вкрасти конфіденційну інформацію. Або, що ще гірше, додали частину шкідливого програмного забезпечення до системи, відповідальної за захист мільйонів користувачів мобільних пристроїв.

Рішення, яке Lookout використовує, таке ж елегантне, як і жорстоке. Будь-який працівник, помітивши незахищений комп’ютер, може піти прямо та відправити електронне повідомлення з машини до спеціального внутрішнього списку, який широко розповсюджується компанією разом із докорним повідомленням до власника комп'ютера. Це привселюдно заявляє, хто накрутив і як, зробивши злочинця справжнім Естер Принтом у офісі.

Хоча Хеллідей не сказав, як чи особисто він був пов’язаний з цим, чи якщо це працює, він погодився з моїм висновком, що негативне підкріплення є досить ефективним. Однак, це одна техніка безпеки, я сподіваюся, що PC Mag не вирішить перевірити.

Не забудьте бути в курсі більше наших повідомлень від RSA!