Onlangs nog dacht ik aan alle opgeloste problemen in IT-beveiliging, zoals XSS (dat kan worden tegengegaan met inputvalidatie), SQL-injectie (dat kan worden tegengegaan met prepared statements), enz.
Nu vraag ik me af, wat zijn de grootste onopgeloste beveiligingsproblemen van het jaar 2010? Ik'ben hier benieuwd of er kwetsbaarheden zijn waarvoor we'nog geen goede manier weten om ze te mitigeren. Behalve hoe we iedereen zover kunnen krijgen om de oplossingen voor de opgeloste problemen te gebruiken.
**Verreweg de meeste van hen zijn sociaal-technisch geschoold.
De mens zal nog lang kwetsbaar blijven voor social engineering en zoals het gezegde luidt: "Veiligheid is maar zo goed als de zwakste schakel".
Zo veel van de antwoorden hier zeggen dat het onopgeloste probleem "de gebruiker" of een of andere variant is, dat ik gedwongen ben om te concluderen dat het grootste onopgeloste probleem veiligheidsbeoefenaars zijn die geloven dat de gebruiker de vijand is.
De onderliggende oorzaak is beveiligingsbeleid of -procedure die geen zichtbaar voordeel heeft, d.w.z. het kost de gebruiker tijd en moeite zonder dat de gebruikers kunnen zien wat het doet voor hen. Om dit probleem op te lossen is het nodig om infosec-expertise te combineren met usability engineering en sociale wetenschappen om nieuwe beveiligingservaringen uit te vinden die enabling zijn, en de gebruikers in staat te stellen hun voordeel te ervaren.
Je kunt het probleem van de eindgebruiker niet echt oplossen. Wettelijk of ethisch gezien in ieder geval niet. Mijn stem gaat naar het Home Realm Discovery-probleem.
EDIT: Het eindgebruiker probleem was in verwijzing naar eerder geposte antwoorden. Home Realm discovery maakt deel uit van een op claims gebaseerd authenticatiemodel, waarbij je kunt kiezen tussen meerdere diensten/organisaties om een gebruiker een identiteit te verschaffen, vergelijkbaar met OpenID/OpenAuth. Het probleem ontstaat wanneer je moet uitzoeken van welke provider je info moet krijgen omdat je nog niets over de gebruiker weet. Het is een kip/ei-ding: hoe kom je erachter wie de gebruiker moet authenticeren als je niet weet wie de gebruiker gebruikt om zijn identiteit te verschaffen.
Het eerste voor de hand liggende antwoord is om slechts één aanbieder te gebruiken, maar dat doet het voordeel van het model teniet.
Het tweede voor de hand liggende antwoord is het aan de gebruiker te vragen. Dit is echter openID's ondergang. De meeste mensen hebben geen idee wie hun provider is. En wat gebeurt er als je je kunt authenticeren tegen Google en Facebook, maar je weet niet welke verbonden is met het profiel van de aanroepende toepassing?
Dit wordt liefkozend het NASCAR-probleem met OpenID genoemd -- de startpagina voor OpenID heeft meestal een bajillion logo's voor providers, dus je moet selecteren welke provider je wilt gebruiken. Wat niet werkt als je een aangepaste provider hebt.
Herinner je je CardSpace/InfoCard/Information Cards? Dat probeert het probleem op te lossen. Theoretisch doet het zijn werk vrij goed. In de praktijk niet veel.
Smartphone Beveiliging
Er zijn een groot aantal smartphones die het doelwit zijn van virussen en lekkende bedrijfsinformatie. Het is moeilijk om een uniforme manier te vinden om deze beveiligingslekken aan te pakken en toch een flexibele gebruikersomgeving te bieden.
Op dit moment kijk ik naar Goodlink om e-mailbeveiliging te bieden voor meerdere apparaten. Reageer als u iets anders weet