Geçen hafta Queensland'de düzenlenen AusCERT 2007 konferansında, güvenlik direktörü olan açılış konuşmacısı Ivan Krstić Her Çocuğa Bir Dizüstü Bilgisayar (OLPC) projesinin mimarisi, katılımcılara masaüstü güvenliğinin temel öneme sahip olduğunu söyledi. kırık. Konferansa katılan birçok güvenlik uzmanına kabul edip etmediklerini ve sorunun nasıl çözülebileceğini sorduk.
Geçtiğimiz hafta Queensland'de düzenlenen AusCERT 2007 konferansında, Çocuk Başına Bir Dizüstü Bilgisayar (OLPC) projesinin güvenlik mimarisi direktörü olan açılış konuşmacısı Ivan Krstić katılımcılara şunları söyledi: masaüstü güvenliği temelden kırıldı. Konferansa katılan birçok güvenlik uzmanına kabul edip etmediklerini ve sorunun nasıl çözülebileceğini sorduk.
Krstić'in bilmecesi şu şekilde: açıklandı ZDNet Avustralya Sunumundan kısa bir süre sonra sektörün masaüstü güvenliğine yaklaşımının, güvenlik konularının sorumluluğunu son kullanıcıya devretmek olduğu söylendi.
"Kullanıcıların bilgisayar bilimi diplomasına sahip ve bilgisayar güvenliği konusunda derin bir anlayışa sahip kişiler olmadığını, onların işlerini halletmeye çalışan insanlar olduğunu anlamamız gerekiyor.
"Kullanıcıların güvenlik sorumluluğunu hafifletmek, bazı satıcıların kendilerini yasal olarak korumaları açısından mantıklı olabilir, ancak aslında bu son kullanıcılara yardımcı olmuyor" dedi.
Krstić, masaüstü bilgisayarın daha fazla güvenlik sorununu otomatik olarak çözmesi gerektiğini ve sistemi korumak kadar güvenliği tehlikeye atma potansiyeline sahip bir kullanıcının girişine güvenmemesi gerektiğini savunuyor.
İşletim sistemleri ve güvenlik yazılımı satıcıları tarafından kullanıcıları önemli bir karar vermek üzere olduklarında uyarmak veya korumak için kullanılan 'diyalog kutusu'nun 'masaüstü güvenliğinin belası' olduğunu söyledi.
"Güvenlik sertifikası herhangi bir nedenle kontrol edilmeyen bir Web sitesine giderseniz, şifresini çözmek için güçlü İnternet güvenliği [becerileri] gerektiren bir diyalog kutusuyla karşılaşırsınız" dedi. "Başkaları için evet, hayır ve iptal arasında rastgele bir tahmin yapmaları gerekiyor. Bu kimseyi korumanın yolu değil" diye ekledi.
Reaksiyon
Teknoloji filozofu ve hacker gurusu Richard Thieme, Krstić'in kesinlikle haklı olduğunu söyledi: "Buradaki herkesin doğru olduğunu bildiği şeyler söyledi, ancak biz bunu düzeltmeye ve düzeltmeye çalışıyoruz".
IBRS'nin endüstri analisti James Turner, önemli güvenlik önlemleri söz konusu olduğunda kullanıcıların tam kontrole sahip olmaması gerektiğini söyledi. Bir sistem yöneticisi olarak "karanlık, karanlık geçmişinde", Microsoft'un işletim sistemlerinin yerel kullanıcıya kendi dizüstü bilgisayarlarında yönetici haklarına sahip olmasına izin vermesinden özellikle şikayetçi oldu.
"Bu örgüt için bir intihardı" dedi. "Ve kötü amaçlı yazılım yazan insanlar son birkaç yılda bundan büyük avantaj elde etti."
Güvenlik sağlayıcısı Marshal'ın araştırma ve geliştirme direktörü Bradley Anstis, Krstić'in teorisinin düşündürücü olduğunu söyledi: kendisinin ve satıcının mühendislik ekibinin "uygulamaları yazmaya başlarken" dikkate alacakları bir Yarın".
Konferanstaki diğer katılımcılar ise Krstić'in dikkate almadığını öne sürerek daha eleştirel bir tavır sergilediler. ne insanın seçim yapma arzusu ne de güncel işletim sistemlerinin bu sorunu çözmede sağladığı kazanımlar sorun.
IBM baş güvenlik mühendisi Anthony Nadalin, "Beni en çok rahatsız eden şey, kullanıcı seçimini kararın dışında bırakması" dedi. "Politika kararının sürecin kendisi tarafından verilmesi gerektiğini düşünmüyorum. Hala insanın bir düzeyde etkileşime ihtiyacı olduğuna inanıyorum."
"İnsanların anlayabilmesi için etkileşimin çok az ve çok basit olması gerektiğine katılıyorum. Ancak insanların bir seçeneği olması gerekiyor" dedi.
BlueCoat CTO'su Alagu Periyannan, eski işletim sistemlerindeki sorunun kullanıcı ayrıcalıklarının olmaması olduğunu söyledi. Uygulamanın türüne veya nasıl olduğuna bakılmaksızın kullanıcının çalıştırdığı uygulamaya otomatik olarak çevrilir Kurulmuş.
"Masaüstü Linux'un yeni sürümlerinde, hatta Mac OS ve Vista'da bunu ayırmaya başladıklarını görmeye başlayabilirsiniz" dedi. "Uygulamalar belirli şeyleri yapmaya başlıyorsa kullanıcıya sistemin bunu yapmasını isteyip istemediği sorulur."
SafeNet'in kurumsal güvenlikten sorumlu başkan yardımcısı Andy Solterbeck de aynı fikirde: "Windows Vista'nın temel güvenlik mimarisinde önemli bir gelişme oldu" dedi.
Daha iyi arayüz gerekli
Katılımcıların tümü, güvenlik seçeneklerinin kullanıcılara sunulma şeklinin çok karmaşık olduğu konusunda hemfikirdi.
Bluecoat'tan Periyannan, "Çoğu insan sıradan kullanıcılar; onlardan dosya iznini değiştirmelerini isteyemezsiniz, onlar bunun ne olduğunu bilemeyecekler" dedi. "Aslında sanat bunu gerçekten basit hale getirmektir. Önemli olan onlara doğru güvenlik özelliklerini vermek ama asla cevaplayamayacağı sorularla kullanıcıyı rahatsız etmemek."
IBM'den Nadalin şunları söyledi: "Kullanıcıya bir şeyler sunan bir metafora sahip olmalısınız... Bugün bu metafor pek dostane değil ve sektörde değişmesi gereken de bu. Daha iyi yöntemlere, daha iyi ikonlara ihtiyacımız var."
Nadalin, endüstrinin bazı temel semboller ve iletişim modları üzerinde anlaşması gerektiğine inanıyor. tıpkı dünyanın (neredeyse) evrensel trafik kodlarına sahip olması gibi, kullanıcılar da öğrenebilir ve bunlara güvenebilir sinyaller.
"Biz de yola çıktık ve dünya genelinde sokak tabelalarının ne anlama geldiğine karar verdik. Neden aynı şeyleri gizlilik hususları veya bilgilerin yayınlanması konusunda da yapamıyoruz?
"Bazı şeyleri ifade eden evrensel simgelere sahibiz. Bir uyarı işaretimiz olabilir - insanlar uyarıyı anlar - gizlilikle ilgili başka bir simgemiz olabilir. Bence [Krstić'in] belirli endişelerini aşmanın bir yolu var" dedi Nadalin.