Sikkerhet markedet vokser, flere selskaper går til markedet, men hvor mange av dem tar på alvor hva de gjør?
Du vet, gjør sikkerhetsteknologi bety at du er personlig ansvarlig for beskyttelse av brukerens informasjon. Du må gjøre dem klar over hva de trenger, akkurat hva du gjør og hvilken type trussel modell produktet beskytte.
Et typisk problem av produktets sikkerhetsfunksjoner er representert ved manglende evne til brukeren å vurdere sikkerheten påstander selve produktet.
Så det er mye selskapene gjør en ikke-så-etisk markedsføring av sikkerhetsfunksjoner, basert på de fakta som ingen bruker vil være i stand til å vurdere det.
Den tidligere forklart situasjonen bor i sikkerhet temaet Snake Oil Encryption, en evolusjon i den vitenskapelige kryptografiske miljøet som la oss i dag bruker best i rasen informasjonssikring teknologier uten å bekymre deg for mye om backdoors eller usikkerhet.
La oss snakke om Snake Oil Encryption
Snake Oil Kryptografi : I kryptografi , er slange olje et begrep som brukes for å beskrive kommersielle kryptografiske metoder og produkter som anses falsk eller uredelig. Skille sikker kryptografi fra usikre kryptografi kan være vanskelig fra synspunktet til en bruker. Mange kryptografer, slik som Bruce Schneier og Phil Zimmermann , forplikter seg til å opplyse offentligheten i hvordan sikkert kryptografi er gjort, samt synliggjøre villedende markedsføring av enkelte kryptografiske produkter.
Den mest refererte Crypto sikkerhet guru, Philip Zimmermann og Bruce Schneier, var første til å snakke om Snake Oil Kryptering:
Snake Oil av Philip Zimmermann
Snake Oil av Bruce Schneier
Den Michigan Telecommunications and Technology Law Review også gjort en meget god analyse knyttet til sikkerhetsfunksjonene av sikkerhetsprodukter, KRAV SNAKE-OIL SECURITY "Den systematiske feiltolkning av Product Security . De forklarer om de ekle markedsføring triksene som brukes til å finpusse brukerne manglende evne til å vurdere sikkerhetsfunksjoner, blant annet økonomiske og juridiske ansvaret implikasjon.
Very famous is the sentence of Russ Nelson : Flere snake oil sikkerhet produktselskaper forklarer ikke og er ikke klar over trusselen modellen som produktet gjelder Svært berømt er den setningen. Russ Nelson :
"Husk, crypto uten en trussel modell er som cookies uten melk. ..... Kryptografi uten en trussel modell er som moderskapet uten eplepai. Kan ikke si at nok ganger. Mer generelt er sikkerhet uten en trussel modell per definisjon kommer til å mislykkes. "
Så, hvordan å få øye snake oil sikkerhetsprodukter?
Sjekk en retningslinje for å se Snake Oil krypteringsprodukter: Snake Oil faresignaler, krypteringsprogram for å unngå av Matt Curtin .
Du kan se dette veldig bra Kryptografiske Snake Oil Eksempler med Emility Ratliff (IBM Arkitekt på Linux Security), som forsøkte å gjøre det klart eksempel på hvordan å få øye Kryptografisk Snake Oil.
Her representerte grunnleggende retningslinje fra Matt Curtin papir:
- Selskaper som hevder stole på oss, vi vet hva vi gjør '
- Selskaper som oppfinne nye teknologiske termer, uten engang å forklare innovasjon, kalt Technobabble
- Produkt som bruker ikke offentlige protokoller sammen med proprietære og Secret Algoritmer
- Selskapet som later til å ha oppfunnet ny type kryptografi eller en Revolutionary Gjennombrudd
- Selskaper som presenterer Useless sertifisering og skal uavhengig evaluering uten sikkerhet verdi
- Produkt som hevder å være Unbreakabl e
- Selskaper som hevder andre produkter er usikre med falske og kunstige bevis
- Selskaper som hevder deres system er militær karakter , mens alle vet at i dag kryptografi i sivil sektor driver innovasjon
- Produkt som har Ubekreftede bit påstander (som 16 384 bit eller 46 080 bit kryptering og autentisering av øktene)
Ved å sjekke disse punktene er det mulig å vurdere hvor alvorlig en krypteringsteknologi eller produktet er.
Men alt i alt hvordan å fikse det uetisk sikkerhet tilnærming?
Det er veldig significative og det ville være veldig nyttig for hver type sikkerhet produktkategori for å gjøre noen sterkt og uavhengig evaluering retningslinje (som OSSTMM for Penetration testing), for å gjøre denne sikkerhetsoppdateringen evalueringsprosess virkelig i hendene på brukeren.
Det ville også være veldig fint å ha noen å gjøre analyse og vurdering av sikkerhet produktselskaper, publiserer rapporter om Snake Oil tegn.
3 Kommentarer
Hei,
Fin artikkel som oppsummerer problemet veldig bra.
Men hvordan ville du forvente å gå videre med en leverandør som selger slange olje? Ville du forventer å gjøre en analyse offentlig å advare andre fra de falske løfter?
Hilsen
Marc
Nice emne.
IMHO det ville virkelig være nødvendig å bruke en sterk full åpenhet orientert tilnærming med et nettsted samle analyse og dokumentasjon med objektiv evaluering poeng knyttet til slange-olje spotting.
Noe som må være objektiv sammen med vedlagt bevis (screenshots, dokumenter, osv.) om en spesifikk analyse.
Også fordi en enkelt personer gjør dette ikke ville være veldig effektiv, sannsynligvis et lite samfunn basert plattform med objektive kriterier for å håndtere slange olje småblødninger ville være veldig gøy :-)
Fabio
Hei,
Jeg tenker et nettsted samle slange-oljeprodukter / reklame. Noe sånt http://datalossdb.org/~~V - Man kan gjøre en sjekkliste ut av Matt Curtin sine papir ;) I mellomtiden sender jeg mistenkelige leverandører / produkter til Bruce Schneier og håper han kommer til å bable om dem i bloggen sin ;)
Hilsen
Marc