Wenn Sie zu einer großen Sicherheitskonferenz gehen, geht es um B-Seiten, BlackHat oder DefCon. Es besteht die Möglichkeit, dass Sie ein Lockpick-Dorf finden. Aber warum? Abgesehen davon, dass es gut ist, einfach nur still zu sitzen und zu sein (siehe einige Nachrichten über Achtsamkeit), glaube ich wirklich, dass das Schlösser knacken ein guter Eisbrecher ist und eine Möglichkeit bietet, über die Bedeutung der Sicherheit zu sprechen. Nehmen Sie Ihre Standard-Vorhängeschlösser (4-Punkt-Zylinderschlösser) mit, diese sind üblich und erfüllen die funktionalen Anforderungen. Sie sind für ein spezifisches Bedrohungsmodell konzipiert und leisten ihre Arbeit gut. Allerdings sind die Vorhängeschlösser sehr einfach zu schließen, die Werkzeuge sind leicht verfügbar und die Tutorials sind überall im Internet zu finden. Für mich sind diese Vorhängeschlösser ein gutes Beispiel dafür, wie man auf einer Reihe von (funktionalen) Anforderungen aufbaut und auf einer Reihe von (funktionalen) Anforderungen testet. Das Produkt funktioniert, es verkauft sich, aber es ist nicht sicher. Darüber hinaus erfordert die Einführung der Sicherheit nun eine völlig neue Konstruktion der Mechanik, die extrem teuer ist.
Stimulieren Sie die Bewegung der Sicherheitsvorrichtung. Wenn ich diese Lock-Picking-Sitzungen durchführe, habe ich von Anfang an über die Macht der Sicherheit (und anderer KMU) gesprochen. Wir bieten Designunterstützung, bewerten Architekturen, testen und werden zu zuverlässigen Beratern. Wir können auch über Bedrohungsmodelle sprechen, und wie Sicherheit bereits in der Entwurfs- und Ideenphase unterstützt werden kann. Bedrohungsvektoren, die Bedrohungslandschaft und die Bedrohungsakteure. Zum Beispiel in Amsterdam, ein starkes 4-Pin-Vorhängeschloss, das mein Fahrrad schützt, ist von Fräsmaschinen stärker gefährdet als von Zangen. Das sollte bestimmen, wie ich mich entscheide, mein Eigentum zu schützen. Das ist vielleicht nicht überall der Fall.
Einführt in das Konzept der SicherheitsprüfungNicht nur die Pins werden getestet, sondern auch die Sicherheit eines Produkts in jeder Phase. Wenn wir einen Dietrich machen, haben wir die Möglichkeit, die Mechanik des Schlosses zu besprechen und warum es einfach ist, das Schloss zu wählen. Auch wenn wir auf andere Stiftzylinderschlösser umsteigen. Einführung der Stärke einer Sicherheitsverpflichtung, um sicherzustellen, dass die Schwachstelle nicht an andere Implementierungen der Mechanik (die federbelasteten Schlösser) weitergegeben wird. Wir können Parallelen ziehen zur Diskussion über technische Muster und die Einführung von Sicherheitsprüfungen, so wie wir mit Funktionsprüfungen das Vorhandensein – oder die Behebung – von Schwachstellen kontinuierlich validieren (z.B. auf jeder Baustelle).
Bauen Sie ein gutes TeamIch mache etwas Werbung auf Slack, in Bürozeitschriften und Mundpropaganda, aber nichts geht über die Übernahme eines der Tische in einem Gemeinschaftsraum, indem ich mit der Frage ankomme: “Möchten Sie lernen, wie man ein Schloss knackt? Diese Art von Sitzungen sind entwaffnend, die Menschen sind fasziniert, sie wollen mehr lernen und jetzt, wenn sie sich die Zeit nehmen, zu lernen, wie man die Schlösser hält und benutzt, haben Sie ein interessiertes Publikum, mit dem Sie über Sicherheit sprechen können. Das Wichtigste ist, dass sie wissen, wer du jetzt bist. Sie sind eine Kontaktperson in einem Team, von dem sie vielleicht wenig gewusst haben, eine Ressource, die sie nutzen können, um Fragen zu stellen, Rat zu suchen oder sogar Vertrauen zu haben. Lockpicking ist völlig legal, billiger als das Ausführen mehrerer Team-Mittagessen und bietet viel Spaß. Warum probieren Sie es nicht aus? Zu deiner Information: Die besten Schlösser, die ich benutzt habe, stammen von Sparrows, diese sind nicht leicht zu knacken und viel feiner zu halten als andere billigere Marken. Es ist jedoch nichts falsch daran, ein billigeres Set von Amazon zu verwenden, seien Sie darauf vorbereitet, dass sie kaputt gehen! |