Start Empfohlen Sicherheits-Jujitsu oder Wie Sie Ihre Chancen trotz Ihrer Benutzer verbessern können

Sicherheits-Jujitsu oder Wie Sie Ihre Chancen trotz Ihrer Benutzer verbessern können

19
0


Ein Freund und ich haben neulich darüber gesprochen, dass die Leute im Großen und Ganzen die einfachsten Sicherheitspraktiken nicht nur ignorieren, sondern geradezu feindselig sind – in der Tat, je einfacher die Anfrage, desto größer das Murren. Was ist zu tun, außer ein Bandelier mit Tasern und ein T-Shirt mit der Aufschrift „GO AHEAD, FRAGEN SIE MICH WIEDER WARUM SIE IHR PASSWORT NICHT DAS GLEICHE WIE IHR BENUTZERNAMEN MACHEN KÖNNEN?“

Lockdown mit Angela Gunn (Stil 2, 200 px)Um mich aufzumuntern (ja, ich habe Fehler am Computer eines Familienmitglieds behoben, wie haben Sie das erraten?), erzählte mir mein Freund von einer unternehmenskulturellen Tradition in einer Firma, bei der er kürzlich konsultierte. Die Regeln in diesem Büro erfordern, dass sich jeder, der seinen Schreibtisch verlässt, aus dem System ausloggt. Und wenn nicht? Ihre Maschine ist ein faires Spiel für die Mitarbeiter, die traditionell in die E-Mail des Täters gehen und eine „cc:all“-Nachricht senden, die ankündigt, dass sie es sind Ausgehen für Tacos, und möchte noch jemand welche?

Natürlich folgte meinem Freund eine Geschichte über das Punken eines anderen Beraters, der etwas Ähnliches auf seinem Computer ausprobiert hatte, denn Sicherheitsleute sind im Großen und Ganzen die fleißigsten und kreativsten SOBs, wenn es darum geht, Sicherheitsrichtlinien zu untergraben. (Eines Tages werde ich mir ein Bundesstipendium besorgen und eine Studie über den Zusammenhang zwischen C-Level-Titeln und dem Surfen am Arbeitsplatz durchführen, das HR-Folklore zum Fibrillieren bringt das Surfen nach Zwergpornos, fragwürdigen Downloads und /b/ erfolgt vom CSO-Büro.)

Aber ich wurde wirklich bejubelt, denn es ist ein weiteres Beispiel für das, was ich nenne Sicherheits-Jujitsu: Nutzung der eigenen Gewohnheiten, Eigeninteressen und Fehlverhaltensweisen der Benutzer zur Verbesserung der Sicherheit. Ich sammle Beispiele und frage mich oft, wie die Praxis erweitert werden kann – mit oder ohne Tacos.

Sicherheits-Jujitsu erfordert wie die Art physischer Konflikte ein genaues Studium des Gegners sowie ein scharfes und fokussiertes Verständnis dessen, was man erreichen möchte, ganz zu schweigen von den Fähigkeiten, um alles einfach, ja sogar unvermeidlich erscheinen zu lassen. Das klassische Beispiel ist das Schild neben der Kasse im nächstgelegenen Fastfood-Restaurant, das Ihnen sagt, dass Ihr Essen kostenlos ist, wenn Ihnen die Kassiererin keine Quittung aushändigt. Es gibt Unterschiede in den verschiedenen Ladengeschäften, aber die Philosophie ist die gleiche: Wenn der Kunde den Kassenbon durchsetzungsfähig macht, wird es für Mitarbeiter schwieriger, bestimmte Arten von Kleindiebstahl im Zusammenhang mit der Kasse zu begehen. Der Kunde treibt die Sicherheitsagenda voran, indem er seinen eigenen Interessen nachgeht (mm, kostenlose Sachen).

Es gibt auch größere und außergewöhnlichere Beispiele sowie viele Fälle, in denen das Eigeninteresse des Dritten nicht so klar ist (z. Und es gibt Beispiele, in denen dämliche Vorstellungen von Sicherheit aussehen wie Mr. Bean, der Jujitsu versucht – zum Beispiel Regeln, die es normalen Leuten verbieten, Videos von ihren Kindern in der Öffentlichkeit zu drehen, weil das Filmmaterial Macht Bilder von den Kindern anderer Leute aufzunehmen, was angeblich Kinder sicherer macht, aber eigentlich bestenfalls dumme Paranoia ist und schlimmstenfalls eine Taktik, um zusätzliche (freundliche) Augen auf öffentlichen Plätzen zu eliminieren. (Ich mache keine Witze; das ist was sie jetzt in Großbritannien machen dass sie – Ironiealarm – Millionen von Überwachungskameras haben, die von Gott-weiß-wer-gott-weiß-warum überwacht werden.)

Aber die Taco-Sache macht mich einfach glücklich – es beinhaltet einen Streich, den die Leute gerne machen; es ist Low-Tech und Low-Training Social Engineering; es ist unvergesslich und lustig. Und wenn der Chef vorbeischaut, um die Person, die sich nicht abgemeldet hat, zu belehren, dass sie gute Sicherheitspraktiken befolgt – hey, Tacos!


Und dann ist da noch das: Apropos Großbritanniens fast allgegenwärtige Sicherheitskameras: Es gibt eine große Diskussion über die Anzahl der Kameras, die dort tatsächlich installiert und verwendet werden. David Murakami Wood, der Chefredakteur von Überwachung und Gesellschaft, im März loslegen und der sechste Teil – ein langer, nachdenklicher Artikel – ging erst heute online. Sie können das nachholen Sekunde, Dritter, vierte und fünfte auch Beiträge. Sehr zu empfehlen, nicht nur für unsere britischen Freunde.



Vorheriger ArtikelDas US-amerikanische DHS rät Benutzern, Flash zu deaktivieren, während die Adobe-Sicherheitskorrektur aussteht
Nächster ArtikelRIAA-Sprecher bestreitet, DRM für „tot“ zu erklären

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein