A blogom RSS-en keresztül is elérhető.
2004-ben MBA fokozatot szereztem a brit Buckinghamshire Chilterns University College-ben. 2006-ban CISA, 2013-ban CISSP minősítést szereztem.
|
Az Electronic Frontier Foundation (EFF) egy remek elemzést készített a megfigyelési iparág működéséről.
Hosszú írás, három részből áll. Az első rész azt mutatja be, hogy milyen azonosítók alapján követhetik nyomon az embert akár a neten (pl. ip cím, browser fingerprinting, mobil készülékek), akár a való éleben (pl. arcfelismerés, rendszámtábla-felismerés). A második rész arról szól, hogy milyen módon, milyen rendszerekkel követik az embert, a harmadik pedig a piacot mutatja be, ahol a megfigyelők értékesítik a megszerzett információkat, és ahol kereskednek adatainkkal. A cikk negyedik része arról ír, mit tehetünk mindez ellen (támogassuk az EFF-et).
Elsősorban a marketing-információk gyűjtéséről, és a célzott reklámok mögötti iparágról szól, és többnyire a legális vagy fél-legális megoldásokról. Különösen érdekes, ahogy a netes, és a fizikai világban alkalmazott megfigyelés egymás mellett szerepel, és az is, hogy sok esetben a fizikai világban vagyunk kevésbé védettek.
Műfaját tekintve a state-of-the-art-ot foglalja össze. Aki követi az információbiztonság szakmát, valószínűleg kevés új tényt fog találni benne. Attól még megdöbbentő mindezt így összeszedve látni. Igen, van néhány alapvető technikai lépés, amit megtehetünk a biztonságunk érdekében, és az ember időnként vállonveregeti magát, amikor adblockert használ, vagy kiüríti a böngészőcache-t, de a leírtak ellen bizony nagy nehéz igazán védekezni. Vannak szereplők, akik sok különböző megfigyelési technikát egyszerre használnak, és rendszeresen összevetik ezek eredményeit. Ha kiüríted a cache-t, a cookie-kat, vagy ha IP-címet váltasz, más rendszerekkel akkor is beazonosítanak, és feljegyzik az új címet, és az új cookie-t. Látjuk, hogy az sem jelent megoldást, ha valaki egyáltalán nem használ elektronikát. Ő hiába térne vissza a középkorba, rengeteg olyan pont van, ahol továbbra is megfigyelhetik.
Valószínűleg csak szabályozás jelenthet megoldást, ha jól működik, és ha globális, de legalábbis vonatkozik a nagy tech cégekre.
|
A hétvégén megoldottam, hogy a saját honlapomnak legyen rendes TLS tanúsítványa.
Pénteken a tanítványaimnak magyaráztam, hogy ma már minden magára adó oldalnak bizony már van tanúsítványa. A Let's Encrypt korában ez már teljesen ingyenes, és lényegében egyetlen parancs kiadásával megoldható. Korábban voltak olyan elveim, hogy csak érzékeny információt kell titkosítani, és ugyan minek tanúsítvány olyan oldalnak, ahol nem adsz meg jelszót, és ahol nem titkokat töltesz le. Húsz éve a TLS tényleg lassított és drága volt.
Ma viszont már nincs kifogás: a legegyszerűbb mindenhol TLS-t használni.
A saját honlapomon a Google cloud segítségével csináltam meg, így mindent megoldanak helyetted -- ingyen.
|
Letettem a
CCSK (Certificate of Cloud Security Knowledge v4)
vizsgát, ami a Cloud Security Alliance
felhő-szolgáltatások biztonságáról szóló governance/menedzsment vizsgája.
Leírom a tapasztalataimat (ahogy korábban CISSP-ről tettem).
A CCSK vizsga három anyagra épül:
Mindhárom dokumentum ingyen letölthető. A vizsgadíj 395 dollár. A vizsgának nincsen fenntartási költsége, viszont a vizsga az adott verzióra (jelenleg v4) szól.
A CCSK vizsga feleletválasztós teszt, 90 perc alatt 60 kérdést kell megválaszolni. Mindent lehet használni, csak nincs rá idő :P.
A felkészüléshez beszereztem az Udemy-n három vizsgasort, olyan csomagot találtam, ahol minimális plusz költségért járt hozzá Peter HJ van Eijk CCSK kedvcsinálója (amiről Peter hangsúlyozza, hogy csak kedvcsináló, és nem CCSK tréning). A vizsgasorok hasznosak voltak, az éles vizsgán sok ismerős kérdéssel találkoztam, bár a udemy-s sorokban elég sok hiba volt. (Például választani kellett, hogy az A&C vagy az A&B opciópárok-e a jók, de az opciók össze voltak keverve, és nem volt mellettük betűjel.)
Peter kedvcsináló tréningje viszont nagyon kellemes csalódás volt: Peter rendkívül értelmes fickó, nagyon jól összefoglalja, hogy szerinte mi az igazán fontos a CCSK-ban, elmagyarázza, hogy szerinte miért különösen fontos a cloud és annak biztonsága, és hasznos tippeket ad a felkészüléshez. Lelkesen, de kritikusan áll hozzá a témához, úgy érzem, sokat tanultam tőle. (A kedvcsinálóval az egyik célja, hogy fizessünk elő a teljes cloud kurzusára, de az gondolom, drágább.)
Számomra hasznos kaland volt a CCSK felkészülés, a CCSK-hoz tisztába kell kerülni azzal, hogy mi az a felhő, mit jelent a felhőben a biztonság, melyek a legjobb gyakorlatok, de legfontosabb, hogy ad egy terminológiát, amivel közös nevezőre kerülhetsz más cloud szakemberekkel. (A rossz terminológia gyakran a cloud projekt halálát jelenti; annyi mindent értenek az emberek felhő/cloud alatt, hogy ha elég sok szakember elég sokáig beszél felhőkről, akkor egy nagy árnyékbokszoláson kívül nem sok marad a projektből.)
A három dokumentum nem nagyon hosszú, el kell olvasni őket, ismerni kell őket annyira, hogy a vizsga során nagy biztonsággal tudj CTRL+F keresni bennük. Azt tapasztaltam, muszáj rákeresni, akkor is, ha úgy gondolom, tudom. A dokumentumok tartalmára szó szerint kérdeznek rá, és az egyes válaszok mást jelentenek, ha tudod, mi a kontextus. Azt vontam le, mindenképp rá kell keresni, és ehhez célszerű kipreparált PDF fájlokat használni, amelyekben megfelelő könyvjelzők és tartalomjegyzék van. Ezen túl, a mac-eseknek azt javasolják, ne a beépített PDF nézőt használják, hanem mást, amelyben hatékonyabban lehet keresni.
|
Megjelent egy PDF aláírások elleni támadásokról szóló cikk Nem a kriptográfiai aláírást törték meg, a cikk három trükköt mutat be, amelyekkel a PDF ellenőrzőket lehet becsapni:
Az egyik támadás (UCF) az aláírás-ellenőrző alkalmazás (pl. Acrobat Reader) hibáját használja ki, és az alkalmazás helyes aláírást jelenít meg.
A másik támadás (ISA) azt használja ki, hogy a PDF aláírás formátuma megengedi, hogy az aláírt PDF-hez módosításokat lehessen hozzáfűzni. Például, ha egy aláírt dokumentumra ráfirkál valaki, akkor a firka nem rontja el az aláírást. A dokumentumban van aláírt tartalom, a firka pedig az aláírt dokumentumhoz hozzáfűzött megjegyzés. Az a probléma, hogy megjelenítéskor nem derül ki egyértelműen, hogy a módosítás/hozzáfűzés az aláírást követően történt.
A harmadik támadás (SWA) áthelyezi az aláírt tartalmat egy másik helyre, a helyére pedig csaló tartalmat tesz. Nem rontja el a kriptográfiai aláírást az eredeti tartalmon, így a megjelenítő helyesnek véli az aláírást, de nem az aláírt, hanem a csaló tartalmat jeleníti meg.
A PDF aláírás remek eszköz volt, mert a PDF jól használható formátum, és szinte mindenkinek van PDF megjelenítője, amely PDF aláírást is tud ellenőrizni. Az implementációk javíthatóak, de ezek a támadások akkor is nagy pofont jelentenek a PDF aláírásoknak.
|
Készítettem egy PowerPoint animációt az agile és a waterfall szoftverfejlesztési módszertanok összahasonlításáról, főszereplője Frédi, a kőkorszaki szaki.
További bejegyzések a blogomban...