Video: Reinventing Organizations - in het Nederlands (November 2024)
Wanneer beveiligingspros het verpesten
Terwijl op de vloer op de RSA-conferentie in San Francisco, heeft het SecurityWatch-team enkele van de grootste namen in de beveiliging gevraagd naar de tijden dat ze blunderden. Het is een ontnuchterende herinnering dat we allemaal mensen zijn en een goede opfriscursus op basis van beveiliging.
Vergeten en vergeven (jezelf)
Op een "confessioneel" moment gevraagd naar een tijd waarin hij het verpestte, hoefde White Hat's oprichter en Chief Technology Officer Jeremiah Grossman niet twee keer na te denken voordat hij vertelde hoe hij bijna al zijn gecodeerde gegevens verloor. Niet om een hack, niet om het werk van een snuffelende overheidsinstantie, maar eenvoudige vergeetachtigheid.
Grossman heeft de pijnlijke aflevering al gedetailleerd verteld op de blog van White Hat, maar grijnsde terwijl hij het opnieuw vertelde. Als beveiligingsman was hij tot het uiterste gegaan om zijn gegevens te beveiligen. "Ik ben het doelwit van aanvallen, " legde hij uit, en daarom heeft hij al zijn informatie opgeslagen op gecodeerde, virtuele schijven. "AES-256 crypto, " zei Grossman. "NSA-grade spul." Het probleem is dat hij op een dag ontdekte dat hij zijn wachtwoord gewoon niet kon onthouden.
Dit was geen eenvoudig wachtwoord; Grossman zei dat hij een mentaal systeem had, wat betekende dat hij met extreem lange wachtwoorden kon komen en deze nooit hoeft op te schrijven. Behalve de enige keer dat hij ze het meest nodig had, ontdekte Grossman dat hij het kritieke wachtwoord niet helemaal kon herinneren. "Ik wist dat ik met zes personages weg was, " zei hij.
Uiteindelijk kreeg Grossman hulp van de makers van John the Ripper, die zijn wachtwoord konden kraken en zijn gegevens konden herstellen. Het was zeker een nederige ervaring, en een die illustreert waarom het nuttig kan zijn om een fysiek wachtwoord te hebben.
De beschamingen zullen doorgaan totdat het moreel verbetert
Aan de andere kant van het spectrum was Lookout's Senior Product Manager, Derek Halliday, die de merkwaardige methode van het bedrijf vertelde voor het afdwingen van veilige computerpraktijken. Lookout produceert een mobiel beveiligingspakket voor Android, dat vorig jaar de keuze van de redacteur van PC Magazine verdiende. Het lijkt er echter op dat het bedrijf zelf een beveiligingsprobleem had, waarbij werknemers hun computer onbeheerd achterlieten terwijl ze nog waren ingelogd.
Hoewel dat misschien een kleine zorg lijkt in een kantooromgeving, betekent het wel dat iedereen langs kan zijn gekomen en gevoelige informatie heeft gestolen. Of, erger nog, heeft een stukje malware toegevoegd aan het systeem dat verantwoordelijk is voor het beschermen van miljoenen mobiele gebruikers.
De oplossing die Lookout gebruikt is even elegant als brutaal. Elke werknemer kan bij het vinden van een onbeveiligde computer direct naar boven lopen en een e-mail van de machine naar een speciale interne lijst sturen die breed wordt uitgezonden, samen met een verwijtend bericht aan de eigenaar van de computer. Dit maakt publiekelijk bekend wie het heeft verknald en hoe, waardoor de dader een echte Hester Prinn van het kantoor is geworden.
Hoewel Halliday niet zei hoe of als hij hier persoonlijk bij betrokken was geweest, of als het werkt, was hij het wel eens met mijn conclusie dat negatieve versterking behoorlijk effectief is. Dit is echter een beveiligingstechniek, ik hoop dat PC Mag niet besluit te testen.
Blijf op de hoogte van meer van onze berichten van RSA!
