IT-säkerhet enligt HPS

För några veckor sedan hävdade jag att säkerhet är ganska enkelt ändå. I större utsträckning än de flesta tror är det sunt förnuft och erfarenhet som är grunden. En av riskerna med att uppfattningen inte är särskilt utbredd är att vi säkerhetsfolk enkelt kan lura folk. Det är inte helt ovanligt, branschen är full av FUD. Ett utmärkt exempel dök upp på Server Fault för några dagar sedan: Our security auditor is an idiot, how do I give him the information he wants?.

En systemadministratör har råkat ut för en "security auditor" som begär att få ut listor på bl a alla användares lösenord och en massa andra dumheter, oklart i vilket syfte. När han blir ifrågasatt svarar han med hot och en allmän översittarattityd. Som sagt, en idiot.

Om din säkerhetskonsult rekommenderar något som du tycker verkar konstigt eller underligt, ifrågasätt! Antingen ska konsulten kunna övertyga dig eller så ska de kunna ändra sig och förklara varför. Säkerhet är en typisk market of lemons och öppenhet är extremt viktigt.

Tack Ted Meyer som pekade ut tråden på Server Fault!

--
Stefan Pettersson

Första veckan i augusti går konferenserna Black Hat Briefings USA 2011 och Defcon 19 i Las Vegas, Nevada. Jag och kollega Per-Åke aka Pelle ska dit och representera. Viss information overload gör det dock svårt att förutse vad som väntar. Det skulle nästan krävas en heldag att sätta sig in i allt som försigår under bara Defcon, till det kommer sedan Blackhat, som är avsevärt smalare, och hela Las Vegas för den delen.

 

 

Det vankas många bra presentationer; jag ser särskilt fram emot Chip & PIN is definately broken, Black Ops of TCP/IP 2011, Sticking to the Facts: Scientific Study of Static Analysis Tools, SSL And The Future Of Authenticity och flera andra...

 

Vi får se hur mycket bloggande som är möjligt under veckan, om inte annat borde det finnas en hel del trådar att dra i efteråt. Hoppas att ni har eller får en bra semester så länge!

 

--
Stefan Pettersson