Рынак каштоўных папер расце, усё больш кампаній выходзіць на рынак, але колькі з іх сур'ёзна, што яны робяць?
Вы ведаеце, робіць тэхналогію бяспекі азначае, што вы несяце асабістую адказнасць за абарону інфармацыі карыстальнікаў. Вы павінны дапамагчы ім усвядоміць, што ім трэба менавіта тое, што вашы робяць і якога роду мадэль пагроз прадукт абароны.
Тыповая праблема бяспекі прадукту функцыі прадстаўлены ў няздольнасці карыстачу ацаніць бяспеку патрабаванняў самога прадукту.
Так што ёсць шмат кампаній, не вельмі-этычна маркетынгу функцый бяспекі, заснаваная на тым, што карыстач не зможа ацаніць яе.
Раней патлумачыў сітуацыю знаходзіцца ў бяспецы, тэма Snake Oil шыфраванне, развіццё ў навуковым асяроддзі крыптаграфічных, якія дазваляюць нам сёння выкарыстоўваць лепшыя ў сваім класе тэхналогіі абароны інфармацыі, не занадта турбавацца аб бэкдором або няўпэўненасці.
Давайце пагаворым аб Snake Oil Шыфраванне
Крыптаграфія Snake Oil : У крыптаграфіі , змяінае алей ўяўляе сабой тэрмін, які выкарыстоўваецца для апісання камерцыйныя крыптаграфічныя метады і прадукты, якія лічацца фіктыўнымі або ашуканскай. Вылучэнне бяспеку крыптаграфія ад небяспечных крыптаграфіі можа быць цяжкім з пункту гледжання карыстальніка. Многія крыптаграфіі, такіх як Брус Шнайер і Філ Цімермана , абавязваюцца інфармаваць грамадскасць у тым, як бяспечна крыптаграфіі будзе зроблена, а таксама выдзяленне ўводзіць у зман маркетынгавай некаторых крыптаграфічных прадуктаў.
Найбольш спасылкамі крыпта бяспекі гуру, Філіп Цымермана і Брус Шнайер, быў 1-га казаць пра Змея шыфравання нафту:
Snake Oil Філіп Цымермана
Snake Oil Брус Шнайер
Мічыган тэлекамунікацый і тэхналогій Law Review таксама вельмі добры аналіз, звязаныя з функцыямі бяспекі Security Products, змеі нафтавай бяспекі сцвярджае, што «Сістэмны скажэнне бяспекі прадукту . Яны тлумачаць, пра поскудзі маркетынгу выкарыстоўваецца для налады карыстальнікаў няздольнасць ацаніць функцыі бяспекі, уключаючы эканамічную і юрыдычную адказнасць падтэкст.
Very famous is the sentence of Russ Nelson : Некаторыя змеі нафтавымі кампаніямі бяспеку прадукту не тлумачыць і не зразумела, пра пагрозу мадэль, да якой прадукт ўжываецца вельмі вядомым з якіх з'яўляецца прапанова. Russ Nelson :
"Памятаеце, крыпта без пагрозы мадэлі, як печыва без малака. ..... Крыптаграфія без пагрозы мадэлі, як мацярынства без яблычны пірог. Нельга сказаць, што дастаткова шмат разоў. У цэлым, бяспека без пагрозы мадэль, па вызначэнні, будзе правал ».
Такім чынам, як вызначыць змяя нафтапрадуктаў бяспекі?
Праверце арыентыру вызначыць Snake Oil шыфравання Тавараў: Змяя Прыкметы нафты Папярэджанне, Encryption Software, якіх варта пазбягаць пры Мэт Кертин .
Вы можаце бачыць, гэта вельмі добрая крыптаграфічных Прыклады Snake Oil на Emility Рэтлифф (IBM архітэктар Linux Security), які спрабаваў зрабіць навочным прыкладам таго, як выявіць нафту крыптаграфічнай Змяя.
Тут прадстаўлены асноўным арыенцірам ад Matt Кертин паперы:
- Кампаніі, якія сцвярджаюць, паверце нам, мы ведаем, што мы робім "
- Кампаніі, якія прыдумляюць новыя тэрміны тэхналогіі, нават не тлумачачы інавацыі, называецца Technobabble
- Прадукт, выкарыстоўваць недзяржаўныя пратаколаў разам з уласнасцю і сакрэтных алгарытмаў
- Кампаніі, якія робяць выгляд, што вынайшаў новы тып шыфравання або рэвалюцыйны прарыў
- Кампаніі, якія прадстаўляюць Бескарысныя сертыфікацыі і павінны незалежнай ацэнкі без забеспячэння значэнне
- Прадукт, які прэтэндуе на Unbreakabl электроннай
- Кампаніі, якія сцвярджаюць, іншых прадуктаў небяспечна з падробленымі і штучных доказаў
- Кампаніі, якія сцвярджаюць, што іх сістэмы ваеннага класа , у той час як усе ведаюць, што сёння крыптаграфіі ў грамадзянскі сектар з'яўляецца рухаючай сілай інавацый
- Прадукт, які ёсць неабгрунтаваныя прэтэнзіі біт (напрыклад, 16384 біт або 46080-бітнае шыфраванне і аўтэнтыфікацыю сесій)
Да праверкі, якая паказвае, што гэта можна ацаніць, наколькі сур'ёзна тэхналогіі шыфравання або прадукт.
Але ў цэлым, як выправіць гэта неэтычным падыход да забеспячэння бяспекі?
Гэта вельмі значны, і было б вельмі карысна для кожнага віду прадуктаў катэгорыі бяспекі, каб зрабіць некаторыя моцна і незалежнай ацэнкі кіраўніцтва (напрыклад, OSSTMM для пранікнення тэставанне), каб зрабіць гэты працэс ацэнкі бяспекі на самай справе ў руках карыстача.
Было б таксама вельмі прыемна, што нехта робіць аналіз і ацэнка кампаній бяспекі прадукту, публікацыі справаздач аб прыкметах Snake Oil.
3 камэнтара
Добры дзень,
Добрая артыкул, які сумуе праблемы вельмі добра.
Але як вы плануеце перайсці з прадаўцом, які прадае змяінае алей? Вы чакаеце, каб зрабіць аналіз грамадскіх папярэдзіць іншых ад ілжывых абяцанняў?
З павагай,
Выцісканні
Добрая тэма.
ІМХО гэта будзе сапраўды неабходна выкарыстоўваць моцныя поўнага раскрыцця арыентаваны падыход з сайта збор доказаў і аналіз з мэтай ацэнкі кропак, звязаных з змяінага алею крывяністыя вылучэнні.
Тое, што павінны быць аб'ектыўнымі, а таксама прыкладзеныя доказы (скрыншоты, дакументы і г.д.) аб канкрэтным аналізе.
Акрамя таго, паколькі адзінокія людзі робяць гэта не будзе сапраўды эфектыўным, магчыма, невялікае супольнасць платформы з аб'ектыўнымі крытэрыямі для апрацоўкі нафты змеі плям было б вельмі весела :-)
Фабіа
Добры дзень,
Я маю на ўвазе сайт збірае змяя нафтапрадуктаў / рэкламы. Нешта накшталт http://datalossdb.org/ ~ ~ V - Ці можна зрабіць кантрольны спіс з паперы ;) Мэт Кертин ў гэты час я адпраўкі падазроных пастаўшчыкоў / прадукты Брус Шнайер і спадзяюся, што ён будзе размаўляць пра іх у сваім блогу ;)
З павагай,
Выцісканні