Forum » Informacijska varnost » The Myths of Security
The Myths of Security
poweroff ::
Pod roke mi je prišla knjiga The Myths of Security. Zadeve še nisem prebral, ampak sneak-peak preview mi pravi, da zna biti fenomenalna.
Podnaslov knjige je What the Computer Security Industry Doesn’t Want You to Know. Kazalo pa je tudi dovolj zgovorno:
Foreword
Preface
The Security Industry Is Broken
Security: Nobody Cares!
It’s Easier to Get “0wned” Than You Think
It’s Good to Be Bad
Test of a Good Security Product: Would I Use It?
Why Microsoft’s Free AV Won’t Matter
Google Is Evil
Why Most AV Doesn’t Work (Well)
Why AV Is Often Slow
Four Minutes to Infection?
Personal Firewall Problems
Call It “Antivirus”
Why Most People Shouldn’t Run Intrusion Prevention Systems
Problems with Host Intrusion Prevention
Plenty of Phish in the Sea
The Cult of Schneier
Helping Others Stay Safe on the Internet
Snake Oil: Legitimate Vendors Sell It, Too
Living in Fear?
Is Apple Really More Secure?
OK, Your Mobile Phone Is Insecure; Should You Care?
Do AV Vendors Write Their Own Viruses?
One Simple Fix for the AV Industry
Open Source Security: A Red Herring
Why SiteAdvisor Was Such a Good Idea
Is There Anything We Can Do About Identity Theft?
Virtualization: Host Security’s Silver Bullet?
When Will We Get Rid of All the Security Vulnerabilities?
Application Security on a Budget
“Responsible Disclosure” Isn’t Responsible
Are Man-in-the-Middle Attacks a Myth?
An Attack on PKI
HTTPS Sucks; Let’s Kill It
CrAP-TCHA and the Usability/Security Tradeoff
No Death for the Password
Spam Is Dead
Improving Authentication
Cloud Insecurity?
What AV Companies Should Be Doing (AV 2.0)
VPNs Usually Decrease Security
Usability and Security
Privacy
Anonymity
Improving Patch Management
An Open Security Industry
Academics
Locksmithing
Critical Infrastructure
Epilogue
Index
Izgleda obetavno.
Podnaslov knjige je What the Computer Security Industry Doesn’t Want You to Know. Kazalo pa je tudi dovolj zgovorno:
Foreword
Preface
The Security Industry Is Broken
Security: Nobody Cares!
It’s Easier to Get “0wned” Than You Think
It’s Good to Be Bad
Test of a Good Security Product: Would I Use It?
Why Microsoft’s Free AV Won’t Matter
Google Is Evil
Why Most AV Doesn’t Work (Well)
Why AV Is Often Slow
Four Minutes to Infection?
Personal Firewall Problems
Call It “Antivirus”
Why Most People Shouldn’t Run Intrusion Prevention Systems
Problems with Host Intrusion Prevention
Plenty of Phish in the Sea
The Cult of Schneier
Helping Others Stay Safe on the Internet
Snake Oil: Legitimate Vendors Sell It, Too
Living in Fear?
Is Apple Really More Secure?
OK, Your Mobile Phone Is Insecure; Should You Care?
Do AV Vendors Write Their Own Viruses?
One Simple Fix for the AV Industry
Open Source Security: A Red Herring
Why SiteAdvisor Was Such a Good Idea
Is There Anything We Can Do About Identity Theft?
Virtualization: Host Security’s Silver Bullet?
When Will We Get Rid of All the Security Vulnerabilities?
Application Security on a Budget
“Responsible Disclosure” Isn’t Responsible
Are Man-in-the-Middle Attacks a Myth?
An Attack on PKI
HTTPS Sucks; Let’s Kill It
CrAP-TCHA and the Usability/Security Tradeoff
No Death for the Password
Spam Is Dead
Improving Authentication
Cloud Insecurity?
What AV Companies Should Be Doing (AV 2.0)
VPNs Usually Decrease Security
Usability and Security
Privacy
Anonymity
Improving Patch Management
An Open Security Industry
Academics
Locksmithing
Critical Infrastructure
Epilogue
Index
Izgleda obetavno.
sudo poweroff
fiction ::
Jaz sem nazadnje prebral Beautiful Security od istega avtorja pa se mi je zdela se kar kul oz. recimo temu drugacna od tipicne security / hacking exposed knjige. Je pa res, da je v bistvu avtor vsakega poglavja drug. Ta, ki je podpisan na knjigi je samo zbral vse skupaj.
Pyr0Beast ::
Lepo, lepo :)
Some nanoparticles are more equal than others
Good work: Any notion of sanity and critical thought is off-topic in this place
Good work: Any notion of sanity and critical thought is off-topic in this place
KoMar- ::
A ne meji to na zganjanje anarhije... mislim, če je vsa "varnost" tak crap, kaj nam sploh še ostane potem? Self-destruct?
terryww ::
Mene bi predvsem zanimale naslednje teme:
Why Most People Shouldn't Run Intrusion Prevention Systems
Problems with Host Intrusion Prevention
The Cult of Schneier
Open Source Security: A Red Herring
VPNs Usually Decrease Security
Why Most People Shouldn't Run Intrusion Prevention Systems
Problems with Host Intrusion Prevention
The Cult of Schneier
Open Source Security: A Red Herring
VPNs Usually Decrease Security
It is the night. My body's weak.
I'm on the run. No time to sleep.
I'm on the run. No time to sleep.
ABX ::
Poleg tega da ta knjiga razlaga kako imamo probleme, ponuja kakšno rešitev?
Vaša inštalacija je uspešno spodletela!
poweroff ::
Jaz sem trenutno na strani 32, sem si pa prebral glede VPNja.
Stvar je v tem, da VPN je sam po sebi dober, problem je,da ga ljudje ne znajo uporabljat. Tip navaja primer tipične uporabe v podjetjih.
Podjetje postavi interno omrežje in notri tudi mail server. Zaposleni potem preko VPNja dostopajo do mail serverja.
Do tu vse lepo in prav. Težava nastopi, ker se VPN omrežje avtomatično smatra za varno. In potem se zgodi, da ima nekdo okuženo mašino, se poveže v VPN in potem okuži vse ostale mašine znotraj kao varnega omrežja.
Skratka - VPN ni čudežna paličica, pač pa je treba razumeti kako deluje in kaj točno ščiti. In ker veliko ITjevcev tega ne razume, se v praksi dogaja, da prihaja do znižanja varnosti.
Stvar je v tem, da VPN je sam po sebi dober, problem je,da ga ljudje ne znajo uporabljat. Tip navaja primer tipične uporabe v podjetjih.
Podjetje postavi interno omrežje in notri tudi mail server. Zaposleni potem preko VPNja dostopajo do mail serverja.
Do tu vse lepo in prav. Težava nastopi, ker se VPN omrežje avtomatično smatra za varno. In potem se zgodi, da ima nekdo okuženo mašino, se poveže v VPN in potem okuži vse ostale mašine znotraj kao varnega omrežja.
Skratka - VPN ni čudežna paličica, pač pa je treba razumeti kako deluje in kaj točno ščiti. In ker veliko ITjevcev tega ne razume, se v praksi dogaja, da prihaja do znižanja varnosti.
sudo poweroff
ABX ::
To je razlog zakaj resne firme ne dovolijo VPN na neslužbenih računalnikih.
Vaša inštalacija je uspešno spodletela!
poweroff ::
Dokaz, da ne razumeš zadeve.
Tudi če je VPN na službenem računalniku, ki se priklaplja zunaj podjetja in okuži, imaš enak problem.
Tudi če je VPN na službenem računalniku, ki se priklaplja zunaj podjetja in okuži, imaš enak problem.
sudo poweroff
fiction ::
Enak problem imas tudi, ce sluzben laptop neses domov in npr. pustis, da otroci gor nalagajo svoje igre. Obstaja veliko nacinov kako z nespametno uporabo prineses tezave.
VPN ni namenjen temu, da nekaj scitis. Ne vem od kje pride ta misconception. Ideja je samo to, da se sluzbeno omrezje ne neha z zadnjo UTP vticnico v stavbi oz. po moznosti se z WLAN omrezjem malo okrog stavbe, ampak je tvoj (sluzbeni) racunalnik doma ali kjerkoli drugje na svetu tudi lahko del tega omrezja. Jasno, ker gre komunikacija cez internet je treba poskrbeti za kriptiranje podatkov, da jih nobeden ne vidi oz. ne more ponarediti. Ampak to je posledica. Brez tega bi se iluzija, da si prikljucen v varno sluzbeno omrezje lahko hitro razblinila.
Dostop do mail streznika IMHO ni dober primer uporabe VPN. Ce ima podjetje pri sebi mail server, bi bil ta tipicno v DMZ-ju. Do njega bi lahko dostopal od zunaj preko SSL/TLS povezave. VPN je recimo dober zato, da povezes dve geografsko loceni enoti podjetja v veliko omrezje, brez da bi moral zato med njima kopati jarke in polagati svojo optiko (oz. zakupiti vod). Ali pa recimo da zaposleni na sluzbenem potovanju lahko dostopa do vseh resursov v sluzbi. Npr. s shara vzame najnovejso verzijo dokumenta, jo pregleda in kasneje natisne na tiskalniku v sluzbi. Sicer bi lahko sambo odprl na ven ali pa postavil FTP streznik, ampak ponavadi hoces, da je tisto vidno samo iz pisarne ali pa pac iz "virtualne pisarne".
VPN ni namenjen temu, da nekaj scitis. Ne vem od kje pride ta misconception. Ideja je samo to, da se sluzbeno omrezje ne neha z zadnjo UTP vticnico v stavbi oz. po moznosti se z WLAN omrezjem malo okrog stavbe, ampak je tvoj (sluzbeni) racunalnik doma ali kjerkoli drugje na svetu tudi lahko del tega omrezja. Jasno, ker gre komunikacija cez internet je treba poskrbeti za kriptiranje podatkov, da jih nobeden ne vidi oz. ne more ponarediti. Ampak to je posledica. Brez tega bi se iluzija, da si prikljucen v varno sluzbeno omrezje lahko hitro razblinila.
Dostop do mail streznika IMHO ni dober primer uporabe VPN. Ce ima podjetje pri sebi mail server, bi bil ta tipicno v DMZ-ju. Do njega bi lahko dostopal od zunaj preko SSL/TLS povezave. VPN je recimo dober zato, da povezes dve geografsko loceni enoti podjetja v veliko omrezje, brez da bi moral zato med njima kopati jarke in polagati svojo optiko (oz. zakupiti vod). Ali pa recimo da zaposleni na sluzbenem potovanju lahko dostopa do vseh resursov v sluzbi. Npr. s shara vzame najnovejso verzijo dokumenta, jo pregleda in kasneje natisne na tiskalniku v sluzbi. Sicer bi lahko sambo odprl na ven ali pa postavil FTP streznik, ampak ponavadi hoces, da je tisto vidno samo iz pisarne ali pa pac iz "virtualne pisarne".
Zgodovina sprememb…
- spremenil: fiction ()
ABX ::
Dokaz, da ne razumeš zadeve.
Tudi če je VPN na službenem računalniku, ki se priklaplja zunaj podjetja in okuži, imaš enak problem.
Vsekakor, ampak še vedno korak naprej kot omogočit VPN iz domačega računalnika. Pač riziko ki si pripravljen tvegat za dodano produktivnost.
Osebno bi dovolil samo SSH tunele, ampak je pomanjkanje želje za takšno rešitev.
Sicer IT sovraži povezavo od doma, omogočiš varnostno luknjo pa še manj te plačajo ko rešuješ problem. Šefi ponavadi forsirajo za takšne rešitve.
Vaša inštalacija je uspešno spodletela!
Zgodovina sprememb…
- spremenilo: ABX ()
poweroff ::
Ja, se strinjam glede VPN. Ampak zanimivo je, da se za vsako tehnologijo najdejo precej "kreativni" načini uporabe, ki učinke tehnologije precej spremenijo.
Hardstyle - hmm, obstaja PDF. Ampak zunaj sije sonce in na travniku cvetijo rožice.
Hardstyle - hmm, obstaja PDF. Ampak zunaj sije sonce in na travniku cvetijo rožice.
sudo poweroff
ABX ::
Ja, se strinjam glede VPN. Ampak zanimivo je, da se za vsako tehnologijo najdejo precej "kreativni" načini uporabe, ki učinke tehnologije precej spremenijo.
Za to so krivi razni "Manađerji", IT v večini primerov to ne dovoli. Pa ne si mislit da je to omejeno na manjša podjetja. Ko sem delal za eno večjih slo firm, smo morali omogočit VPN za domače računalnike. Šele po 3 mesecih so nam nekako priznali da samo pod pogojem da je to službeni prenosnik z priloženim routerjem za varnost. Pred tem je to bil PC direktno povezan na ADSL modem.
Vaša inštalacija je uspešno spodletela!
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Mozilla bi v Firefoxu prodajala VPN (strani: 1 2 )Oddelek: Novice / Brskalniki | 22018 (17407) | b3D_950 |
| » | Ponudniki VPN za Android množično vohunijo (strani: 1 2 )Oddelek: Novice / Zasebnost | 18724 (15693) | roli |
| » | VPN in legalnost le-tegaOddelek: Pomoč in nasveti | 3750 (3030) | SeMiNeSanja |
| » | Z OpenVPN-jem ven iz MPLS-ja? (strani: 1 2 )Oddelek: Omrežja in internet | 14398 (13342) | SeMiNeSanja |
| » | VPN težavaOddelek: Omrežja in internet | 1563 (1315) | SasoS |