CS50 Live, Episode 001
På vores Black Hat-sikkerhedskonference på onsdag gav den tidligere Google-direktør for ingeniør Douglas Merrill åbent keynote-præsentation, og det var ikke en traditionel sikkerhedsspørgsmål. Takeaway: Lad brugerne diktere virksomhedens sikkerhedsbehov.
Merrill, som senest fungerede som Chief Operating Officer og formand for EMI Records, startede med en metafor for at placere fortove på en universitetscampus for at beskrive hans syn på sikkerhedsarkitekturen. Campusplanlæggere, sagde han, kom ind og satte sig for fortove og græs. Seks måneder går forbi, og de begynder at lægge mærke til pletter af død græs. Som reaktion herpå ville planlæggerne lægge metalkæder for at holde eleverne på fortovet. Hvis eleverne fortsætter med at gå på græsset, placerer planlæggerne planterne for at modvirke sådan trafik en gang for alle.
Det samme sker med sikkerhed i virksomheden. Virksomheder vil forsøge at kontrollere medarbejdere ved at begrænse IM-brug ved at tvinge Gmail gennem en proxy. Merrill citerede sin erfaring som COO, sin egen frustration med Exchange, og fejlede den klassiske virksomheds software for ikke at være brugervenlig. "Medarbejdere ønsker bedre værktøjer på arbejdspladsen," sagde Merrill. "De forsøger at gøre brug af den bedste teknologi." Efter hans mening kan den bedste teknologi ofte findes i software til forbrugerkvalitet.
Han sagde, at for 20 år siden ønskede alle at arbejde i firmware; ikke i dag. I dag er der bedre, mere brugervenlige værktøjer som f.eks. IM. Og i stedet for at bekæmpe medarbejdernes behov, bør sikkerhedsansvarlige arbejde for at sikre de netværk, der bruger dem.
Der er en anden tilgang til at sætte fortove på college campus: plante græs og lad eleverne gå hvor som helst. Merrill sagde, at efter seks måneder kan planlæggerne gå ind og hærde de mest brugte stier med fortove. Merrill mener, at det samme kan ske med sikkerhed: brugerne skal føre sikkerhedsudviklingen.
Men snarere end at præsentere en trussel mod det økosystem, der er på plads i milliard dollar, der er på plads, ser Merrill et kompromis. "Jeg tror, at sikkerhedsselskaber vil skifte fra at skabe infrastruktur grænser til infrastruktur modstandsdygtighed. Hvis vi kan opbygge sikkerhed på en korrekt måde, gør vi det lettere, ikke sværere."
Robert Vamosi er en freelance computer security writer specialiseret i at dække kriminelle hackere og malware trusler.
Sikkerhed, sikkerhed, mere sikkerhed
Sikkerhedsnyheder domineret i denne uge, og det vil uden tvivl også være tilfældet i næste uge med Black Hat og Defcon ...
Red Hat er ved at slippe støtte til Intels itaniumprocessor i Enterprise Linux 6, den næste store udgave af operativsystemet, siger firmaet i en erklæring om søndagen. økonomisk sans for Red Hat, ifølge Chris Ingle, forskningsdirektør for IDC's European Systems Group. Antallet af Itanium-baserede servere, der sælges, er sandsynligvis ikke høj nok til, at Red Hat kan retfærdiggøre at bruge sine ressourcer på at understøtte en version af Enterprise Linux til denne processor. I stedet vil det fokus
Red Hat tilbyder i dag support til version 5 på systemer baseret på IBM Power, System z og S / 390 processorarkitekturer.
Vigtige lektier at lære af Black Hat ATM Hack
En sikkerhedsforsker ved navn Barnaby Jack overraskede deltagere på Black Hats sikkerhedskonference ved at hackere pengeautomater i en session med titlen "Jackpotting Automated Teller Machines Redux". Der er nogle vigtige erfaringer fra hack Jack demonstreret, og de gælder for mere end bare ATM-maskiner.