Hloupé nápady v počítačové bezpečnosti
 x   TIP: Přetáhni ikonu na hlavní panel pro připnutí webu
Reklama
Reklama

Hloupé nápady v počítačové bezpečnostiHloupé nápady v počítačové bezpečnosti

 

Hloupé nápady v počítačové bezpečnosti

Google       Google       26. 2. 2006       7 689×
Reklama
Reklama

Vjednom z posledních úvodníků (www.ranum.com ) upozorňoval Marcus J. Ranum, známý odborník na bezpečnost, co považuje za nejhloupější nápady, které byly kdy vymyšleny na poli počítačové bezpečnosti. Jeho přístup jsem shledal docela zábavným a zajímavým, takže jsme se rozhodl, že se s vámi podělím o jeho seznam hloupých nápadů, k němuž doplním své osobní poznámky a komentáře.

Podle Ranuma je prvním problémem přístup implicitního povolení. To znamená dovolit na vašem počítači všechno, co není výslovně zakázáno. Pravděpodobně jste zvědaví, kdo by tímto způsobem uvažoval o nastavení brány firewall? I když mě napadlo několik jmen mých klientů, celkem vzato máte pravdu: V dnešní době pokládáme za samozřejmé, že firewally by měly implementovat zásadu implicitně zakázáno. Vzpomeňte však na sítě bez interní segmentace... Není to právě další forma implicitního povolení? A co operační systémy, které spustí jakoukoli část neznámého kódu, přestože většina uživatelů používá pouze několik aplikací? A to se ani nezmiňuji o veškerém povyku kolem systémů IPS (systémy ochrany proti průnikům): za jejich zvučným názvem stojí obyčejné objekty, které odstraní známé útoky. Jinými slovy, nejedná-li se o známý útok, systém ho nechá projít a to je další příklad implicitního povolení.

Tím se dostáváme k druhému hloupému nápadu Ranuma: výčty špatných věcí. V podstatě se jedná o princip budování vašeho bezpečnostního systému na seznamu špatných věcí, které nechcete, aby se staly. Jako příklad si uveďme viry, spam a trojské koně: proč mrhat svým časem na vytváření seznamu tisíců nových špatných věcí, když byste mohli pouze autorizovat specifické aplikace a nic jiného na vašem počítači nespouštět? Totéž platí pro systémy na filtrování síťového provozu. Obecně lze říct, že bezpečnostní systém je založen na principu výčtů špatných věcí, když váš software neustále potřebuje aktualizace podpisů.

Je-li mottem Googlu Nebuďte zlí, rád bych doporučil, aby naše motto bylo Nebuďte hloupí. Je to těžší, než si dokážete představit, věřte mi.


Třetí hloupý nápad, který Ranum popsal, je přístup proniknout a záplatovat. Tento nápad jsem shledal jako méně přesvědčivý. Na jedné straně souhlasím s předpokladem, že existuje (několik) aplikací, například qmail nebo Postfix, které nemají téměř žádné chyby a zranitelná místa, protože byly vyvíjeny s ohledem na bezpečnost. Takže stejně jako Marcus věřím, že na poli softwarového inženýrství spočívá problém v inverzi tohoto přístupu. Na straně druhé však věřím, že v souvislosti s bezpečností sítí je pro koncového uživatele velmi prospěšné mít někoho, kdo se snaží pomocí testů průniků překonat bezpečnostní systémy. Uživatelé si pak mohou být jisti, že všechno bylo provedeno správně. Možná však nejsem ta správná osoba, která by to měla komentovat – jelikož se tolik mých klientů na to ptá.

Ani čtvrtý hloupý nápad mě nepřesvědčil: Ranum tvrdí, že bychom měli přestat uvažovat o tom, že hackování je skvělé a začít se učit, že dobré inženýrství je lepší. Má odpověď je ano i ne: k vytváření robustního softwaru jeho návrhem potřebujeme inženýry, ale také potřebujeme flexibilní myslitele, kteří zpochybní předpoklady a kteří ukáží, že to, co jsme považovali za nemožné, ve skutečnosti možné je a tím jednají jako hackeři. Samozřejmě bychom měli převrátit význam slova hackeři, pod nímž si lidé většinou vybaví whiz kid nebo guru na technologii, kteří marní své životy pronikáním do systémů prostřednictvím známých zneužití, aby na těchto systémech zpřístupnili svůj warez. Dále souhlasím s tvrzením Ranuma, že toto chování je nesmyslné.

Pátý hloupý nápad přeskočím (vzdělávání uživatelů nefunguje…). Dále bych rád dal Ranumovi osobní radu týkající se šestého hloupého nápadu: Někdy je lepší nedělat vůbec nic, než udělat něco hloupého. Dříve než promrháte desítky tisíc eur na novou a neotestovanou technologii, je lepší vynaložit peníze za člověka s potřebnými znalostmi, který vám pomůže pochopit, co máte udělat. Dříve než začnete propagovat nové bezpečnostní zásady, které zůstanou bez uplatnění, rozhodně stojí za to v první řadě pochopit, co bylo špatně.

×Odeslání článku na tvůj Kindle

Zadej svůj Kindle e-mail a my ti pošleme článek na tvůj Kindle.
Musíš mít povolený příjem obsahu do svého Kindle z naší e-mailové adresy kindle@programujte.com.

E-mailová adresa (např. novak@kindle.com):

TIP: Pokud chceš dostávat naše články každé ráno do svého Kindle, koukni do sekce Články do Kindle.

1 názor  —  1 nový  
Hlasování bylo ukončeno    
0 hlasů
Google
(fotka) Lukáš ChurýLukáš je šéfredaktorem Programujte, vyvíjí webové aplikace, fascinuje ho umělá inteligence a je lektorem na FI MUNI, kde učí navrhovat studenty GUI. Poslední dobou se snaží posunout Laser Game o stupeň výše a vyvíjí pro něj nové herní aplikace a elektroniku.
Web     Twitter     Facebook     LinkedIn    

Nové články

Obrázek ke článku NEWTON Media prohledá 200  milionů mediálních zpráv během sekund díky Cisco UCS

NEWTON Media prohledá 200 milionů mediálních zpráv během sekund díky Cisco UCS

Česká společnost NEWTON Media provozuje největší archiv mediálních zpráv ve střední a východní Evropě. Mezi její zákazníky patří například ministerstva, evropské instituce nebo komerční firmy z nejrůznějších oborů. NEWTON Media rozesílá svým zákazníkům každý den monitoring médií podle nastavených klíčových slov a nabízí online službu, kde lze vyhledat mediální výstupy v plném znění od roku 1996.

Reklama
Reklama
Obrázek ke článku Delphi 10.1.2 (Berlin Update 2) – na co se můžeme těšit

Delphi 10.1.2 (Berlin Update 2) – na co se můžeme těšit

Touto roční dobou, kdy je zem pokrytá barevným listím a prsty křehnou v mrazivých ránech, se obvykle těšíme na zbrusu novou verzi RAD Studia. Letos si však ale budeme muset počkat na Godzillu a Linux až do jara. Vezměme tedy za vděk alespoň updatem 2 a jelikož dle vyjádření pánů z Embarcadero se budou nové věci objevovat průběžně, pojďme se na to tedy podívat.

Obrázek ke článku Konference: Moderní datová centra pro byznys dneška se koná už 24. 11.

Konference: Moderní datová centra pro byznys dneška se koná už 24. 11.

Stále rostoucí zájem o cloudové služby i maximální důraz na pružnost, spolehlivost a bezpečnost IT vedou k výrazným inovacím v datových centrech. V infrastruktuře datových center hraje stále významnější roli software a stále častěji se lze setkat s hybridními přístupy k jejich budování i provozu.

Obrázek ke článku Konference: Mobilní technologie mají velký potenciál pro byznys

Konference: Mobilní technologie mají velký potenciál pro byznys

Firmy by se podle analytiků společnosti Gartner měly  rychle přizpůsobit skutečnosti, že mobilní technologie už zdaleka nejsou horkou novinkou, ale standardní součástí byznysu. I přesto - nebo možná právě proto - tu nabízejí velký potenciál. Kde tedy jsou ty největší příležitosti? I tomu se bude věnovat již čtvrtý ročník úspěšné konference Mobilní řešení pro business.

Reklama autora

loadingtransparent (function() { var po = document.createElement('script'); po.type = 'text/javascript'; po.async = true; po.src = 'https://apis.google.com/js/plusone.js'; var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(po, s); })();
Hostujeme u Českého hostingu       ISSN 1801-1586       ⇡ Nahoru Webtea.cz logo © 20032016 Programujte.com
Zasadilo a pěstuje Webtea.cz, šéfredaktor Lukáš Churý