Rsa: כאשר מקשרי ביטחון דופקים

כאשר מקצוענים מבטחים

כשהוא נמצא על הרצפה בוועידת RSA בסן פרנסיסקו, צוות SecurityWatch שאל כמה מהשמות הגדולים ביותר בתחום האבטחה לגבי התקופות בהן הם טועים. זו תזכורת מפוכחת שכולנו אנושיים, ורענון טוב בכמה יסודות אבטחה.

שכח וסלח (בעצמך)

כשנשאל ברגע "הווידוי" על תקופה בה דפוק, מייסד ומנהל הטכנולוגיה הראשי של ווייט האט, ג'רמיה גרוסמן, לא היה צריך לחשוב פעמיים לפני שהוא סיפר כיצד הוא כמעט איבד את כל הנתונים המוצפנים שלו. לא לפריצה, לא לעבודה של סוכנות ממשלתית מגניבה, אלא שכחה פשוטה.

גרוסמן כבר סיפר בפירוט על הפרק הכואב בבלוג של הכובע הלבן, אך עווה את פניו תוך שהוא מספר אותו שוב. בהיותו אדם בעל אופק ביטחון, הוא הלך לקיצוניות כדי לאבטח את הנתונים שלו. "אני ממוקד להתקפות", הוא הסביר, וזו הסיבה ששמר את כל המידע שלו בכוננים וירטואליים מוצפנים. "AES-256 קריפטו, " אמר גרוסמן. "דברים בכיתה NSA." הבעיה היא שיום אחד הוא גילה שהוא פשוט לא זוכר את הסיסמה שלו.

זו לא הייתה סיסמה פשוטה; גרוסמן אמר שיש לו מערכת נפשית שמשמעותה שהוא יכול לבוא עם סיסמאות ארוכות במיוחד ולעולם לא יצטרך לרשום אותן. פרט לפעם בה הוא היה זקוק להם יותר מכול, גרוסמן מצא שהוא לא יכול לזכור לחלוטין את הסיסמה הקריטית. "ידעתי שיצאתי משש דמויות, " אמר.

בסופו של דבר, גרוסמן קיבל קצת עזרה מיוצרי ג'ון המרטש, שהצליחו לפצח את סיסמתו ולשחזר את הנתונים שלו. זו הייתה חוויה משפילה, אם להיות בטוחים, וכזו שממחישה מדוע יכול להיות שימושי לגבות סיסמא פיזית.

ההאשמות יימשכו עד שהמורל ישתפר

בקצה השני של הספקטרום היה מנהל המוצר הבכיר של Lookout, דרק הלידיי, אשר סיפר על השיטה המוזרה של החברה לאכיפת נוהלי מחשוב מאובטחים. Lookout מייצרת חבילת אבטחה ניידת לאנדרואיד, שזכתה בשנה שעברה בבחירת העורכת של מגזין PC. עם זאת, נראה כי לחברה הייתה בעיית אבטחה משל עצמה, כאשר עובדים משאירים את המחשבים שלהם ללא השגחה בעודם מחוברים.

אמנם זה עשוי להיראות כמו דאגה קלה בסביבת משרד, אך זה אומר שכל אחד יכול היה לבוא ולגנוב מידע רגיש. או גרוע מכך, הוסיפו למערכת מערכת אחיזה מסוימת של תוכנות זדוניות האחראיות על הגנה על מיליוני משתמשים ניידים.

הפיתרון של חברת Lookout הוא אלגנטי כמו שהוא אכזרי. כל עובד באיתור מחשב שאינו מאובטח יכול ללכת ישר למעלה ולשלוח דוא"ל מהמחשב לרשימה פנימית מיוחדת המשודרת בחברה, יחד עם הודעה תוכחה לבעל המחשב. זה מצהיר בפומבי מי דפוק ואיך, מה שהופך את העבריין לסטר פרין אמיתית מהמשרד.

למרות שהלידיי לא אמר כיצד או אם היה מעורב באופן אישי בזה, או אם זה עובד, הוא הסכים עם מסקנתי כי חיזוק שלילי הוא די יעיל. עם זאת, זוהי טכניקת אבטחה אחת שאני מקווה ש- PC Mag לא יחליט לבדוק.

הקפד להישאר מעודכן יותר מההודעות שלנו מ- RSA!