Video: Inaugurazione Residenza Anni Azzurri Valdaso di Nicola Baiocco (Novembre 2024)
Quando i professionisti della sicurezza sbagliano
Mentre era a terra alla RSA Conference di San Francisco, il team SecurityWatch ha chiesto ad alcuni dei più grandi nomi della sicurezza dei tempi in cui hanno commesso un errore. È un promemoria che fa riflettere sul fatto che siamo tutti umani e un buon aggiornamento su alcune basi di sicurezza.
Dimentica e perdona (te stesso)
Quando gli è stato chiesto in un momento "confessionale" di un momento in cui ha sbagliato, Jeremiah Grossman, fondatore di White Hat e Chief Technology Officer, non ha dovuto pensarci due volte prima di raccontare come ha quasi perso tutti i suoi dati crittografati. Non per un hack, non per il lavoro di un'agenzia governativa ficcanaso, ma semplice dimenticanza.
Grossman ha già raccontato dettagliatamente il doloroso episodio sul blog di White Hat, ma ha fatto una smorfia mentre lo raccontava di nuovo. Essendo un uomo attento alla sicurezza, aveva fatto di tutto per proteggere i suoi dati. "Sono preso di mira per gli attacchi", ha spiegato, motivo per cui ha archiviato tutte le sue informazioni su unità virtuali crittografate. "AES-256 cripto", ha detto Grossman. "Materiale di qualità NSA." Il problema è che un giorno ha scoperto che semplicemente non riusciva a ricordare la sua password.
Questa non era una semplice password; Grossman disse che aveva un sistema mentale, il che significava che poteva inventare password estremamente lunghe e non doverle mai scrivere. Tranne la volta in cui ne aveva più bisogno, Grossman ha scoperto di non poter ricordare del tutto la password critica. "Sapevo di essere stato fuori, per esempio, da sei personaggi", ha detto.
Alla fine, Grossman ha avuto l'aiuto dei creatori di John the Ripper, che sono stati in grado di decifrare la sua password e ripristinare i suoi dati. È stata un'esperienza umiliante, certo, e quella che illustra perché può essere utile eseguire il backup di una password fisica.
Le vergogne continueranno fino a quando il morale non migliorerà
Dall'altra parte dello spettro c'era il Senior Product Manager di Lookout, Derek Halliday, che raccontava il metodo peculiare dell'azienda per applicare pratiche di calcolo sicure. Lookout produce una suite di sicurezza mobile per Android, che lo scorso anno ha guadagnato la scelta dell'editor di PC Magazine. Tuttavia, sembra che la società abbia avuto un problema di sicurezza, con i dipendenti che hanno lasciato i loro computer incustoditi mentre erano ancora connessi.
Sebbene ciò possa sembrare una preoccupazione minore in un ambiente di ufficio, ciò significa che chiunque potrebbe essere arrivato e aver rubato informazioni sensibili. O, peggio ancora, ha aggiunto del malware al sistema responsabile della protezione di milioni di utenti mobili.
La soluzione che Lookout utilizza è tanto elegante quanto brutale. Qualsiasi dipendente, dopo aver individuato un computer non protetto, può avanzare e inviare un'e-mail dalla macchina a un elenco interno speciale che è diffuso dalla compagnia insieme a un messaggio di rimprovero al proprietario del computer. Questo dichiara pubblicamente chi ha fatto un casino e come, rendendo l'autore del reato un vero Hester Prinn dell'ufficio.
Sebbene Halliday non abbia detto come o se fosse stato coinvolto personalmente in questo, o se funziona, è stato d'accordo con la mia conclusione che il rinforzo negativo è abbastanza efficace. Tuttavia, questa è una tecnica di sicurezza che spero che PC Mag non decida di testare.
Assicurati di rimanere aggiornato sui nostri post di RSA!