Sechs dumme Ideen zur Computersicherheit (2005)

 (ranum.com)
5 Punkte von GN⁺ 2024-07-16 | 1 Kommentare | Auf WhatsApp teilen
  • Die sechs dümmsten Ideen in der Computersicherheit
    • Computersicherheit ist noch immer ein "heißes Thema"
    • Warum gibt es trotz des Einsatzes von viel Zeit und Geld immer noch Probleme?

Standardmäßig erlauben

  • "Standardmäßig erlauben" tritt in verschiedenen Formen auf
  • Am häufigsten ist es bei Firewall-Regeln zu sehen
  • Wenn eine neue Schwachstelle entdeckt wird, muss der Administrator entscheiden, ob sie blockiert werden soll
  • "Standardmäßig erlauben" führt zu einem endlosen Wettlauf mit Hackern
  • Das Gegenkonzept, "standardmäßig verweigern", ist eine gute Idee

Schlechte Dinge auflisten

  • In der frühen Computersicherheit gab es nur einige wenige bekannte Sicherheitslücken
  • "Schlechte Dinge auflisten" bedeutet, alle bösartigen Elemente aufzulisten und zu blockieren
  • Die bösartigen Elemente im Internet sind zahlreicher geworden als die gutartigen
  • "Schlechte Dinge auflisten" ist ineffizient, und "gute Dinge auflisten" ist der bessere Ansatz

Eindringen und patchen

  • "Eindringen und patchen" bedeutet, Bugs zu finden und zu beheben
  • Dieser Ansatz löst die grundlegenden Probleme des Codes nicht
  • Sicherheitslücken zu entdecken und zu patchen ist keine grundlegende Lösung
  • Sicherheitssysteme müssen schon in der Entwurfsphase sicher gebaut werden

Hacken ist cool

  • Hacken für cool zu halten, ist eine dumme Idee
  • Hacken ist ein gesellschaftliches Problem, kein technisches
  • Hacker zu Helden zu machen, fördert das Hacken
  • Es ist auch eine dumme Idee, dass Sicherheitsfachleute Hack-Techniken lernen

Benutzerschulung

  • Benutzerschulung ist die menschliche Version von "Eindringen und patchen"
  • Benutzer zu schulen ist keine grundlegende Lösung
  • Statt das Problem zu lösen, ist es besser, das Problem zu beseitigen

Handeln ist besser als Nichtstun

  • Die Vorstellung, dass "Handeln besser ist als Nichtstun", ist eine dumme Idee
  • Bevor neue Technologien eingeführt werden, ist es die bessere Strategie, ausreichend zu prüfen und abzuwarten
  • Man sollte sich daran erinnern, dass "nichts Dummes zu tun einfacher ist, als etwas Kluges zu tun"

Zusammenfassung von GN⁺

  • Dieser Artikel behandelt dumme Fehler, die in der Computersicherheit häufig gemacht werden
  • Beim Entwurf von Sicherheitssystemen ist es wichtig, die grundlegenden Probleme zu lösen
  • Eine Kultur, die Hacken für cool hält, kann das Problem des Hackens verschärfen
  • Statt Benutzerschulung ist ein Ansatz nötig, der Probleme grundlegend löst
  • Bei der Einführung neuer Technologien ist es wichtig, sie ausreichend zu prüfen und vorsichtig vorzugehen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-07-16
Hacker-News-Kommentare

  • „Default Deny“ ist nicht schwieriger als „Default Permit“, verschafft IT-Sicherheitsverantwortlichen aber besseren Schlaf

    • Für andere im Unternehmen ist es jedoch äußerst frustrierend, wenn ohne mehrere zusätzliche Abstimmungen mit der IT-Abteilung nichts funktioniert
    • Je frustrierter die Menschen sind, desto eher nutzen sie Umgehungslösungen, die Sicherheitskonzepte der IT untergraben
    • Gute IT-Sicherheit sollte wie Magie sein: für die Nutzer unsichtbar und nicht störend

  • In den späten 90ern und frühen 2000ern argumentierten Marcus Ranum und Bruce Schneier, dass die Offenlegung von Schwachstellen schädlich sei

    • Diese Sichtweise hat sich jedoch nicht bestätigt
    • Heute umfassen die meisten akademischen Sicherheitskonferenzen auch Angriffsforschung

  • Es ist überraschend, dass Passwörter nicht erwähnt werden

    • Regeln zur Passwortzusammensetzung und regelmäßiger Passwortwechsel sind im Wesentlichen unsinnig
    • Nutzer sollten Passwörter so wählen dürfen, dass sie sie sich leicht merken können

  • Zu behaupten, dass Sicherheitstests nicht notwendig seien, ist die schlechteste Sichtweise auf Sicherheit

    • Auch die Behauptung, Hacking sei kein technisches, sondern ein gesellschaftliches Problem, ist eine falsche Sichtweise

  • Ein sicherheitsorientierter Ansatz verursacht Unannehmlichkeiten für die Nutzer

    • Es ist wichtig, ein Gleichgewicht zwischen Sicherheit und Komfort zu finden
    • Die Erforschung von Schwachstellen und Exploits ist nützlich, um Sicherheit zu lernen

  • Hacking ist cool, aber der Zugriff auf die Daten und Systeme anderer ist es nicht

    • Das eigene System gründlich zu verstehen und zu manipulieren, ist nützlich

  • Exploits zu lernen ist hilfreich, um Theorie und Praxis gemeinsam zu erlernen

  • Der unglückliche Kompromiss zwischen Benutzerfreundlichkeit und Sicherheit ist das Problem

    • Ansätze wie „Default Permit“ sind schädlich für die Sicherheit
    • Passwörter sind schwer zu merken und unpraktisch für Nutzer

  • Dem Client zu vertrauen bedeutet, dass das Sicherheitsmodell kaputt ist

  • Der Ansatz „Penetrate and Patch“ macht Sicherheitsarbeit bedeutungslos

    • Das Finden und Beheben von Schwachstellen wird wichtiger als Systeme von Anfang an sicher zu entwerfen
    • Es ist sinnvoll, zwischen illegalem Zugriff und Sicherheitsberatung zu unterscheiden