Δέκα --άξιες λόγου-- τάσεις στην ασφάλεια
Στο Hack in the Box, o Bruce Schneier είχε μία μικρή λίστα
Σε ομιλία που μεταδόθηκε ως webcast τον προηγούμενο μήνα στο συνέδριο ασφάλειας Hack in the Box που έγινε στην Κουάλα Λουμπούρ της Μαλαισίας, ο Bruce Schneier, CTO της εταιρείας παροχής υπηρεσιών ασφάλειας Counterpane Internet Security Inc, αναγνώρισε 10 τάσεις που επηρεάζουν τον τομεά της ασφάλειας πληροφοριών σήμερα.
01. Η πληροφορία είναι πολυτιμότερη από ποτέ.
Για παράδειγμα, η Amazon.com Inc. βασίζεται σε πληροφορίες για να κάνει την αγορά των βιβλίων ευκολότερη μέσω του συστήματος αγοράς -- με ένα πάτημα του ποντικιού -- που διαθέτει. Ομοίως, όταν η επιχείρηση λιανικού εμπορίου μέσω του internet, pets.com, πτώχευσε, η βάση δεδομένων των πελατών της εταιρείας ήταν "το μόνο περιουσιακό στοιχείο" που είχε αξία, ανέφερε.
Η πληροφορία έχει επίσης αξία σε διαδικασίες ελέγχου πρόσβασης, όπως είσοδος στο σύστημα και αναγνώριση χρήστών, όπως και για τις αστυνομικές αρχές που χρησιμοποιούν την πληροφορία ως βοήθημα ανίχνευσης εγκληματιών και συλλογή αποδεικτικών στοιχείων.
02 Τα δίκτυα είναι κρίσιμες υποδομές
Το internet δεν σχεδιάστηκε για να χρησιμοποιηθεί ως κρίσιμη υποδομή. "Απλά συνέβη", ανέφερε ο Schneier, σημειώνοντας ότι αυτό δεν εμπόδισε περισσότερα κρίσιμα συστήματα
να μεταναστεύσουν προς το internet.
Το internet βοηθάει τις επιχειρήσεις να λειτουργούν πιο αποδοτικά και διευκολύνει τν επικοινωνία μεταξύ ανθρώπων, ωστόσο αυτό συμπεριλαμβάνει και ρεαλιστικά οικονομικά ρίσκα. "Αν το δίκτυο καταρρεύσει, ή αν μέρος του δικτύου καταρρεύσει, οι συνέπειας στην οικονομία είναι πραγματικές", ανέφερε.
03. Οι χρήστες δεν έχουν απαραίτητα έλεγχο της πληροφορίας που τους αφορά.
Για παράδειγμα, οι ISP ελέγχουν αρχεία καταγραφής που περιέχουν τα WWW sites που επισκέπτονται οι χρήστες, και τα μηνύματα email που στέλνουν και λαμβάνουν. Επίσης, μερικές εταιρείες κινητής τηλεφωνίας διατηρούν αντίγραφα των επαφών των χρηστών τους στους server τους.
"Η πληροφορία που σχετίζεται με εσάς έχει πολύ μεγάλη αξία", είπε ο Schneier. "Ωστόσο δεν έχετε κανένα έλεγχο στην ασφάλειά της, ακόμα και αν είναι εξαιρετικά προσωπική".
04. Το hacking είναι όλο και περισσότερο ένα εγκληματικό επάγγελμα.
Το hacking δεν είναι πλέον για χομπίστες. Όλο και περισσότερο, επιθέσεις οργανόνωνται και κατευθύνονται από εγκληματίες που έχουν ως στόχο το κέρδος. "Η φύση των επιθέσεων αλλάζει καθώς αλλάζει και ο εχθρός", είπε ο Schneier.
O εκβιασμός που συνδέεται με επιθέσεις DoS και Phishing είναι δύο παραδείγματα εγκληματικών επιθέσεων. Άλλωστε, υπάρχει μία μαύρη αγορά για αδυναμίες των συστημάτων που επιτρέπουν τους επιτιθέμενους να εισβάλλουν σε εταιρικά συστήματα ΙΤ.
05. Η πολυπλοκότητα είναι εχθρός
"Όσο τα συστήματα γίνονται πιο πολύπλοκα άλλο τόσο γίνονται και λιγότερο ασφαλή", είπε ο Schneier, χαρακτηρίζοντας το internet ως "η πιο πολύπλοκη μηχανή που έχει φτιαχτεί ποτέ".
Η πρόοδος στην τεχνολογία της ασφάλειας απλώς δεν έχουν τον ίδιο ρυθμό με αυτόν της ανάπττυξης του internet. "H ασφάλεια καλυτερεύει, αλλά η πολυπλοκότητα χειροτερεύει γρηγορίτερα" είπε ο Schneier.
06. Oι επιθέσεις είναι πιο γρήγορες από τις διορθώσεις/patches
Νέες αδυναμιές στα συστήματα ανακαλύπτονται γρηγορότερα από ότι οι κατασκευαστές τους μπορούν να τις διορθώσουν. Σε άλλες περιπτώσεις, οι αδυναμίες σε μερικά ενσωματομένα συστήματα όπως οι router της Cisco Systems Inc. δεν μπορούν να επιδιορθωθούν, αφήνοντας τις επιχειρήσεις ευάλωτες.
07. Τα σκουλήκια είναι πιο εξελιγμένα από ποτέ
Ήδη εμπεριέχουν εργαλεία εκτίμησης τρωτότητας, και εξετάζουν την άμυνα των επιχειρήσεων για αδυναμίες ενώ χρησιμοποιούν την Google Inc. για συγκέντρωση στοιχείων. "Αυτή η τάση είναι αποτέλεσμα του ότι περισσότερα σκουλήκια είναι εγκληματικά".
08. Τα άκρα είναι ο πιο αδύναμος κρίκος.
"Δεν έχει σημασία το πόσο καλές οι διαδικασίες αναγνώρισης/ταυτοποίησης που έχετε είναι, αν ο απομακρυσμένος Η/Υ είναι αναξιόπιστος", ανέφερε ο Schneier. Σε πολλές περιπτώσεις, οι Η/Υ που βρίσκονται έξω από την ασφάλεια της επιχείρησής σας είναι ο πιο αδύναμος κρίκος. Αυτοί οι Η/Υ είναι συχνά μολυσμένοι με κακόβουλο λογισμικό που δίνουν μία ευκαιρία στους επιτιθέμενους.
09. Οι τελικοί χρήστες αντιμετωπίζονται ως απειλές.
Οι εταιρείες όλο και περισσότερο αναπτύσσουν λογισμικό που στοχεύει στην άμυνα ενάντια στον τελικό χρήστη, ανέφερε ο Schneier, αναφερόμενος στα DRM ως παράδειγμα. "Όλο και συχνότερα βλέπουμε πρακτικές ασφάλειας που δεν προστατεύουν το χρήστη αλλά προστατεύουν από το χρήστη".
Σε μία τουλάχιστον περίπτωση, που περιλάμβανε λογισμικό DRM που εγκαθίστατο από την Sony Corp. χωρίς τη συναίνεση του χρήστη, το λογισμικό προκαλούσε βλάβη στον Η/Υ του χρήστη. "Οι κανόνες και οι κανονισμοί γύρω από αυτό πρόκειται να είναι ένα μεγάλο πεδίο μάχης", ανέφερε ο Schneier, προβλέποντας ότι η μάχη θα διεξαχθεί μεταξύ του λογισμικού που προστατεύει το χρήστη και του λογισμικού που προστατεύει από το χρήστη.
10. Οι κανονισμοί θα προωθήσουν τις εξετάσεις ασφάλειας (security audits).
Δεν υπάρχει έλλειψη σε κανονισμούς που περιγράφουν λεπτομερώς πως οι εταιρείες θα πρέπει να διαχειρίζονται τα δεδομένα. Κανονισμοί όπως η Sarbanes-Oxley Act θα είναι η κινητήριος δύναμη πίσω από εταιρικες εξετασεις ασφαλειας.
Εμφάνιση 1-4 από 4
-
21-10-06, 19:33 Δέκα τάσεις στην ασφάλεια άξιες λόγου #1
Τελευταία επεξεργασία από το μέλος EvilHawk : 25-10-06 στις 16:43.
-
23-10-06, 15:40 #2
το 9 εχει μεγαλη σημασια πως θα εξελιχθει.....
οσο για την κρισιμοτητα...ειναι αληθεια και για αυτο επενδυουν σε redundancy ολοι πλεον.full flex
-
23-10-06, 15:55 #3
01. Η πληροφορία είναι πολυτιμότερη από ποτέ.
Αυτό ίσχυε εξαπανέκαθεν. Τιποτα και πουθενά δεν παίζεται (κατά κύριο λόγο) στην πράξη διότι όλα παίζονται στις πληροφορίες και στο ποιός θα τις αποκτήσει γρηγορότερα ωστε με την μικρότερη και πιο ασήμαντη (αλλά ενδελεχώς μελετημένη) πράξη να έχει το μεγαλύτερο αποτέλεσμα.
02 Τα δίκτυα είναι κρίσιμες υποδομές
Γεγονός αυτό. Οι πιο εξεληγμένες χώρες (και εμείς από πίσω), μέρα με τη μέρα γινόμαστε όλο και πιο network dependant. Φυσική εξέληξη είναι άλλωστε αφού τα δίκτυα είναι ο (μόνος?) καλύτερος τρόπος για να γίνει το 1 (από πιο πάνω)
03. Οι χρήστες δεν έχουν απαραίτητα έλεγχο της πληροφορίας που τους αφορά.
Η μεγαλύτερη αυταπάτη που έχει η μεγάλη πλεοψηφία χρηστών: Ανωνυμία.
Ότι κάνουμε καταγράφεται απ'τους servers των isp μας. Ανα πάσα στιγμή, με ή χωρίς εισαγγελική εντολή, μπορεί "κάποιος" να δεί "τι που πως και πότε".
04. Το hacking είναι όλο και περισσότερο ένα εγκληματικό επάγγελμα.
Δυστυχώς
05. Η πολυπλοκότητα είναι εχθρός
Παραθύρια Vista.
ΩΠΜΡΟΟΟΟΟΟΪΣ!!!!
06. Oι επιθέσεις είναι πιο γρήγορες από τις διορθώσεις/patches
Προφανώς! Όταν συγκεντρώνεις μεγάλο αριθμό "εχθρών", είναι φυσικό να συμβαίνει αυτό. Viva la Microsoftcion!
07. Τα σκουλήκια είναι πιο εξελιγμένα από ποτέ
[action=BlindG]ψάχνεται να δει αν έχει τίποτα παράσιτα....[/action]
08. Τα άκρα είναι ο πιο αδύναμος κρίκος.
Στην ουσία παραπέμπει στο πιο πάνω.
09. Οι τελικοί χρήστες αντιμετωπίζονται ως απειλές.
Τον κακό σας το φλάρο καραγκιόζηδες. Μήπως εσείς φέρατε τους χρήστες στα όριά τους?
10. Οι κανονισμοί θα προωθήσουν τις εξετάσεις ασφάλειας (security audits).
Θα αρχίσουμε να βλέπουμε όλο και πιο συχνά, τύπους με πηρούνια που στην άκρη τους θα έχουν ένα μάτι για retina scan.
Good... Bad... I'm tha guy with tha Gun...
WAntilles: Ούτε σε όλους έχει αφαιρεθεί με βάναυσο - γκεμπελικό χειρουργείο, το μέρος του εγκεφάλου που συμπαθεί τα Windows.
Trolling με γεύση παπάγια
-
29-11-06, 15:25 #4
Παρόμοια Θέματα
-
Τελευταία η Ελλάδα στην οδική ασφάλεια
Από emeliss στο φόρουμ Πολιτική, Κοινωνικά Θέματα, Επιστήμες και AθλητισμόςΜηνύματα: 31Τελευταίο Μήνυμα: 07-08-08, 18:49 -
Ασφάλεια Δημοσίου κι Εξέταση στην ΕΕ
Από YiannisM στο φόρουμ Πολιτική, Κοινωνικά Θέματα, Επιστήμες και AθλητισμόςΜηνύματα: 2Τελευταίο Μήνυμα: 21-06-08, 00:49 -
Windows Vista και αλλαγές στην ασφάλεια
Από EvilHawk στο φόρουμ WindowsΜηνύματα: 24Τελευταίο Μήνυμα: 27-02-07, 12:08 -
το firewall μου μπλοκαρει δεκα δεκα attempts!
Από mcl3 στο φόρουμ WindowsΜηνύματα: 11Τελευταίο Μήνυμα: 14-11-06, 14:59 -
Αντικειμενικές αξίες
Από dvm στο φόρουμ Εκτός θέματοςΜηνύματα: 10Τελευταίο Μήνυμα: 04-05-06, 10:26
Bookmarks