Recentemente ho pensato a tutti i problemi risolti nella sicurezza IT, come XSS (che può mitigare con la convalida dell'input), SQL Injection (mitigato con istruzioni preparate), ecc.
Ora mi chiedo, quali sono i maggiori problemi di sicurezza non risolti dell'anno 2010? Mi chiedo qui se ci sono vulnerabilità là fuori per le quali non sappiamo ancora un buon modo per mitigarli. Tranne il modo in cui possiamo convincere tutti a utilizzare le soluzioni per i problemi risolti.
Non puoi davvero risolvere il problema dell'utente finale. Bene, legalmente o eticamente comunque. Il mio voto va verso il problema di Home Realm Discovery.
EDIT: Il problema dell'utente finale era in riferimento alle risposte precedentemente pubblicate. La scoperta di Realm di casa fa parte di un modello di autenticazione basato sulle attestazioni, in cui è possibile selezionare tra più servizi / organizzazioni per fornire un'identità per un utente, proprio come OpenID / OpenAuth. Il problema sorge quando devi capire da quale provider ottenere informazioni poiché non sai ancora nulla sull'utente. È una cosa pollo / uovo: come fai a sapere chi deve autenticare l'utente quando non sai chi l'utente usa per fornire la propria identità.
La prima risposta ovvia è quella di utilizzare un solo fornitore, ma questo tipo di negazione del vantaggio del modello.
La seconda risposta ovvia è chiedere all'utente. Tuttavia, questa è la rovina di openID. La maggior parte delle persone non ha idea di chi sia il loro fornitore. E cosa succede quando puoi autenticarti contro Google e Facebook, ma non sai quale è legato al profilo dell'applicazione chiamante?
Questo è affettuosamente chiamato il problema NASCAR con OpenID - la pagina di avvio di OpenID di solito ha un logo bajillion per i provider, quindi è necessario selezionare quale provider utilizzare. Che si interrompe quando hai un fornitore personalizzato.
Ricorda CardSpace / InfoCard / Schede informative? Questo tenta di risolvere il problema. In realtà fa un buon lavoro teoricamente. Praticamente notsomuch.
Ingegneria sociale di gran lunga.
Gli esseri umani rimarranno vulnerabili all'ingegneria sociale per molto tempo a venire e, come si suol dire, "la sicurezza è valida quanto l'anello più debole".
Quindi molte delle risposte qui dicono che il problema irrisolto è "l'utente" o qualche variante, che sono costretto a concludere il problema irrisolto più grande è operatori della sicurezza che credono che l'utente sia il nemico .
La causa sottostante è la politica o la procedura di sicurezza che non presenta alcun beneficio visibile, ovvero richiede tempo e sforzi degli utenti senza che gli utenti possano vedere cosa sta facendo per loro . La risoluzione di questo problema richiederà la combinazione di competenze infosec con ingegneria dell'usabilità e scienze sociali per inventare nuove esperienze di sicurezza che abilitano e consentire agli utenti di percepirne i benefici.
Il voto su Internet da computer di casa o dell'ufficio per le elezioni di alto rischio è piuttosto lontano dalla portata dei "problemi irrisolti". È particolarmente importante per gli elettori che sono all'estero e / o nelle forze armate e non hanno un modo veloce e affidabile per restituire un voto cartaceo verificato da elettori (si pensi ai sottomarini :). È stato nominato degno di un X-PRIZE a DESSEC: designazione di un Concorso di progettazione di sistemi sicuro
Ron Rivest, la "R" in "RSA", ha tenuto uno dei numerosi discorsi convincenti su questo nel 2010 presso il laboratorio di sistemi di votazione remota UOCAVA. Puoi vedere le presentazioni nella pagina "Agenda e presentazioni" qui link
Il problema è molto più difficile del problema dell'e-commerce sicuro, dal momento che i voti devono essere anonimi, la vendita di voti è vietata e il sistema deve essere altamente trasparente. Coinvolge anche:
Nel rivedere il recente crash-and-burn di un test pubblico su Internet Voting da parte del District of Columbia, il Washington Post ha capito bene .
Vedi di più su
Breve descrizione di USACM su Internet Voting e UOCAVA - link
Polling Internet sicuro (domanda di sicurezza IT)
Sicurezza smartphone
Ci sono un ampio numero di smartphone che sono bersagli per i virus e che perdono informazioni aziendali. È difficile trovare un modo uniforme per affrontare queste vulnerabilità della sicurezza e fornire comunque un ambiente utente flessibile.
Attualmente sto guardando Goodlink per fornire sicurezza della posta elettronica su più dispositivi. Si prega di commentare se si sa di qualsiasi altra cosa
Distribuisci HTTPS correttamente
Avere sempre una sessione SSL / TLS dopo l'autenticazione ... per il resto della sessione Web.
Con una nota simile, qualcuno può dire a Google AdSense / AdWords di supportare HTTPS?!?! Ogni sito che richiede il login di solito ritorna su HTTP perché non desidera che gli utenti ottengano l'avviso "Contenuto misto".
Credo che attualmente un grosso problema sia il riutilizzo della password.
XKCD # 792 illustra il problema con un "po '" di umorismo.
Email Sender Verification
Molte soluzioni e terze parti cercano di risolvere il problema di "l'utente x ha effettivamente inviato un messaggio di posta elettronica?" o è stato falsificato?
DMARC , DomainKeys, SenderID e SPF sono tutti esempi di tecnologie che risolvono il problema in un modo o nell'altro, ma il tasso di adozione non è t vicino a dove deve essere. Inoltre, non penso che ci sia una soluzione completa quando si ha a che fare con ListSrv in quest'area.
Non è possibile risolvere XSS con la convalida dell'input. Non sei corretto.
L'iniezione SQL è più di istruzioni preparate. Include argomenti come istruzioni SQL e binding variabile. Hibernate ha un'iniezione HQL, compensata da parametri denominati con il corretto binding di variabili.
Password e in che modo le persone pensano a loro. Le password dovrebbero essere rinominate per passare le frasi secondo me. Troppi account vengono violati oggi perché gli utenti hanno una politica di password errata.
Ad esempio: l'utente seleziona una password inferiore a 10 caratteri. Diventa facilmente violento dopo che un sito registrato subisce un dirottamento e il DB è svuotato. Sfortunatamente usa la stessa password per la sua e-mail (naturalmente chi non lo fa ?! non ... stupido!). Ciò si traduce in lui perdere tutte le sue credenziali e fondamentalmente la sua identità online. Ora chiunque può facilmente sfruttare questa vittima senza che lui ne sappia molto.
Enorme problema irrisolto: acquisizione di senior (CEO, FD, ecc.) acquisto e comprensione della sicurezza delle informazioni. La gestione IT tende a comprendere la sicurezza IT (praticamente), ma l'alta direzione non lo fa. Sono focalizzati sui rischi aziendali, operativi e finanziari, quindi tradurre i rischi IS in un equivalente e un impatto relativo in modo che possano essere discussi a parità di condizioni è l'unico modo coerente per ottenere il budget previsto, sponsorizzato e implementato ... come contrario ai driver attuali per il cambiamento rivoluzionario nella sicurezza delle informazioni - di solito una risposta a un incidente importante, così alto budget e urgenza per un breve periodo fino a quando i tabloid non vanno sul prossimo obiettivo.
Cloud Security is Unproven
La sicurezza delle soluzioni SaaS, PaaS e IaaS non viene testata nel tempo e affidabile. Credo che questo sia un problema quando abbiamo l'azienda e venditori che vendono soluzioni non verificate e non attendibili.
Con il tempo, forse questo cambierà.
Per quanto ne so, non esiste una soluzione reale per impedire il clickjacking o lo scraping. Per quest'ultimo, le soluzioni migliori sono il monitoraggio basato su IP o un CAPTCHA su ogni caricamento di pagina. Nessuno dei quali è perfetto.
Adozione e utilizzo diffusi di DNSSec
Sebbene vi sia la controversia in merito alla sua esposizione di tutte le zone, e problemi legali relativi al suo utilizzo in alcuni paesi; nel complesso è una tecnologia necessaria che ha bisogno di superare la sindrome dell'uovo e della gallina.
Affrontare le minacce aumentate con meno personale.
Dato che hai chiesto informazioni sui problemi appresi durante il 2010, dirò che i licenziamenti aumentano il rischio di furto di informazioni e divulgazione non autorizzata da parte del personale interno.
Se i licenziamenti influiscono sul dipartimento di sicurezza, molti di questi problemi citati in precedenza potrebbero non essere controllati, lasciando la società a rischio.
Gli attacchi più popolari sono XSS e clickjacking per quanto ne so.
Leggi altre domande sui tag research