Tillbaka till jobbet.
Tillbaka till verkligheten.
Eller var det verkligheten vi lämnade i Vegas och bubblan vi återkommit till?
Här är mina intryck från världens största säkerhetskonferenser – Black Hat USA och Defcon.
Allt kan och ska hackas
Mina kollegor Michael Boman, Marcus Hartwig, Peter Swedin och jag träffade en hel del intressanta människor under de två konferenserna. En av dem – Jesse Ou från Cigital – sammanfattade intrycken väl: – It's all depressing, isn't it?! Everything gets hacked.
Black Hat är tämligen kommersiellt medan Defcon känns som en gräsrotsrörelse. Samtidigt har de ett gemensamt tema – allt kan och ska hackas. Känslan på Black Hat var att hacken syftade till att höja medvetenheten och på sikt säkerheten. Känslan på Defcon var snarare att det var coolt att knäcka system, punkt.
Hur som helst så är listan på de säkerhetshack som presenterades tämligen deprimerande:
- Bankomater hackades (video)
- Kerberos på Windows hackades
- Android hackades ... flera gånger om
- iPhone:s och Androids webbläsare hackades (video)
- GSM hackades
- IBM WebSphere hackades
- PHP hackades
- Diverse network management-protokoll hackades
- Smarta kort med Atmel-chip hackades
- Så kallade Grade 1-säkerhetslås knäcktes, t ex finska ILOQ (video)
- Privata RSA-nycklar hackades ... på veckor med en desktopdator! Jag har jagat presentatören som tusan eftersom det nog var det mest skrämmande vi såg. Men det var en presentation i ett separat rum utanför den vanliga agendan. Hittills inga svar.
Det bestående intrycket är att IT-säkerhet är uppdelat i två världar.
Värld nummer ett där de flesta av oss arbetar. I den världen så betyder säkerhetsfunktioner, säkerhetsregler, säkerhetsrutiner och säkerhetsprinciper allt. Under sådan flagg säljer vi kunskap och system för att bygga och upprätthålla säkerhet.
Värld nummer två där en del av oss tillbringar fritiden men de flesta är åskådare. I den världen så kringgås säkerhetsfunktioner, säkerhetsregler, säkerhetsrutiner och säkerhetsprinciper konsekvent. Men där finns inga pengar att tjäna om man vill vara på rätt sida om lagen.
Vilken säkerhet efterfrågas?
Den säkerhet som kunder efterfrågar och säkerhetsföretag säljer har ganska lite att göra med hur system hackas. Hackerkulturen går ut på att inte acceptera specifikationer och garantier utan istället undersöka sanningen och röka ut säkerhetshålen som alltid finns där.
OWASP befinner sig i ett mellanläge. Med säkerhet i applikationsutveckling försöker man undvika att utgöra lågt hängande frukt. OWASP Top 10 ger tips om vanliga risker och misstag. OWASP ESAPI ger byggklossar för bättre säkerhetsfunktioner i webbsystem.
Men om vi efterfrågar riktig säkerhet så finns i dagsläget ingen annan väg framåt än tidskrävande, explorativ säkerhetstestning. Och det är det ingen som håller på med.
Förutom de som presenterar på hackerkonferenser förstås.
Inga kommentarer:
Skicka en kommentar