Video: Píldora formativa 39: ¿Cómo funciona el algoritmo RSA? (Noviembre 2024)
Cuando los profesionales de seguridad se equivocan
Mientras estaba en el piso de la Conferencia RSA en San Francisco, el equipo de SecurityWatch ha estado preguntando a algunos de los nombres más importantes en seguridad sobre los momentos en que han cometido errores. Es un recordatorio aleccionador de que todos somos humanos y una buena actualización de algunos conceptos básicos de seguridad.
Olvídate y perdona (a ti mismo)
Cuando se le preguntó en un momento "confesional" acerca de un momento en que se equivocó, el Fundador y Director de Tecnología de White Hat, Jeremiah Grossman, no tuvo que pensarlo dos veces antes de contar cómo casi perdió todos sus datos cifrados. No a un truco, no al trabajo de una agencia gubernamental entrometida, sino al simple olvido.
Grossman ya ha contado el episodio doloroso en detalle en el blog de White Hat, pero hizo una mueca al volver a contarlo. Siendo un hombre con mentalidad de seguridad, había ido al extremo para asegurar sus datos. "Estoy dirigido a ataques", explicó, por lo que almacenó toda su información en unidades virtuales encriptadas. "Cripto AES-256", dijo Grossman. "Cosas de grado NSA". El problema es que un día descubrió que simplemente no podía recordar su contraseña.
Esta no era una contraseña simple; Grossman dijo que tenía un sistema mental, lo que significaba que podía encontrar contraseñas extremadamente largas y nunca tener que escribirlas. Excepto la única vez que los necesitaba más, Grossman descubrió que no podía recordar por completo la contraseña crítica. "Sabía que estaba fuera, como, seis personajes", dijo.
Al final, Grossman recibió ayuda de los creadores de John the Ripper, quienes pudieron descifrar su contraseña y restaurar sus datos. Fue una experiencia humillante, sin duda, y una que ilustra por qué puede ser útil tener una contraseña física de respaldo.
Los Shamings continuarán hasta que la moral mejore
En el otro extremo del espectro estaba Derek Halliday, Gerente de Producto Senior de Lookout, quien relató el método peculiar de la compañía para hacer cumplir las prácticas informáticas seguras. Lookout produce un paquete de seguridad móvil para Android, que se ganó la elección del editor de PC Magazine el año pasado. Sin embargo, parece que la compañía tenía un problema de seguridad propio, ya que los empleados dejaban sus computadoras desatendidas mientras todavía estaban conectados.
Si bien eso puede parecer una preocupación menor en un entorno de oficina, significa que cualquiera podría haber venido y robado información confidencial. O, peor aún, agregó una pieza de malware al sistema responsable de proteger a millones de usuarios móviles.
La solución que emplea Lookout es tan elegante como brutal. Cualquier empleado, al detectar una computadora no segura, puede caminar y enviar un correo electrónico desde la máquina a una lista interna especial que se transmite en toda la compañía junto con un mensaje de reproche al propietario de la computadora. Esto declara públicamente quién se equivocó y cómo, convirtiendo al delincuente en un verdadero Hester Prinn de la oficina.
Aunque Halliday no dijo cómo o si había estado personalmente involucrado en esto, o si funciona, estuvo de acuerdo con mi conclusión de que el refuerzo negativo es bastante efectivo. Sin embargo, esta es una técnica de seguridad que espero que PC Mag no decida probar.
¡Asegúrate de estar al día con más de nuestras publicaciones de RSA!
