Enam Ide Paling Bodoh dalam Keamanan Komputer (2005)

 (ranum.com)
5 poin oleh GN⁺ 2024-07-16 | 1 komentar | Bagikan ke WhatsApp
  • Enam ide paling bodoh dalam keamanan komputer
    • Keamanan komputer masih merupakan "topik hangat"
    • Mengapa masih mengalami masalah meskipun sudah menginvestasikan banyak waktu dan uang?

Izin secara default

  • "Izin secara default" muncul dalam berbagai bentuk
  • Ini paling sering terlihat dalam aturan firewall
  • Saat kerentanan baru ditemukan, administrator harus memutuskan apakah akan memblokirnya
  • "Izin secara default" menyebabkan persaingan tanpa akhir dengan peretas
  • Konsep kebalikannya, yaitu "tolak secara default", adalah ide yang baik

Membuat daftar hal-hal buruk

  • Pada masa awal keamanan komputer, hanya ada beberapa celah keamanan yang sudah dikenal
  • "Membuat daftar hal-hal buruk" berarti mencantumkan dan memblokir semua elemen berbahaya
  • Unsur berbahaya di internet menjadi lebih banyak daripada unsur yang baik
  • "Membuat daftar hal-hal buruk" tidak efisien, dan "membuat daftar hal-hal baik" adalah pendekatan yang lebih baik

Tembus dan tambal

  • "Tembus dan tambal" adalah cara menemukan bug lalu memperbaikinya
  • Cara ini tidak menyelesaikan masalah mendasar pada kode
  • Menemukan kerentanan keamanan lalu menambalnya bukanlah solusi mendasar
  • Sistem keamanan harus dibuat aman sejak tahap perancangan

Meretas itu keren

  • Menganggap peretasan itu keren adalah gagasan yang bodoh
  • Peretasan adalah masalah sosial, bukan masalah teknis
  • Menjadikan peretas sebagai pahlawan berarti mendorong peretasan
  • Bahkan bagi pakar keamanan, mempelajari teknik peretasan juga merupakan gagasan yang bodoh

Edukasi pengguna

  • Edukasi pengguna adalah versi manusia dari "tembus dan tambal"
  • Mendidik pengguna bukanlah solusi mendasar
  • Alih-alih menyelesaikan masalah, menghilangkan masalah adalah pendekatan yang lebih baik

Bertindak lebih baik daripada tidak bertindak

  • Gagasan bahwa "bertindak lebih baik daripada tidak bertindak" adalah gagasan yang bodoh
  • Sebelum memperkenalkan teknologi baru, strategi yang lebih baik adalah meninjaunya dengan cukup matang dan menunggu
  • Harus diingat bahwa "tidak melakukan tindakan bodoh lebih mudah daripada melakukan tindakan cerdas"

Ringkasan GN⁺

  • Tulisan ini membahas kesalahan-kesalahan bodoh yang sering dilakukan dalam keamanan komputer
  • Saat merancang sistem keamanan, penting untuk menyelesaikan masalah mendasar
  • Budaya yang menganggap peretasan itu keren dapat memperburuk masalah peretasan
  • Dibutuhkan pendekatan yang menyelesaikan masalah dari akarnya, bukan sekadar edukasi pengguna
  • Saat memperkenalkan teknologi baru, penting untuk meninjaunya dengan matang dan melakukannya secara hati-hati

Bacaan terkait

1 komentar

 
GN⁺ 2024-07-16
Opini Hacker News

  • 'Default Deny' tidak lebih sulit daripada 'Default Permit', tetapi memberi tidur yang lebih nyenyak bagi penanggung jawab keamanan TI

    • Namun, orang-orang lain di perusahaan menjadi sangat kesal karena tidak ada yang berjalan tanpa berbagai pekerjaan tambahan dengan departemen TI
    • Semakin kesal orang, semakin besar kemungkinan mereka menggunakan cara-cara обход yang melemahkan konsep keamanan TI
    • Keamanan TI yang baik seharusnya seperti sihir: tidak terlihat oleh pengguna dan tidak mengganggu

  • Pada akhir 1990-an dan awal 2000-an, Marcus Ranum dan Bruce Schneier berpendapat bahwa pengungkapan kerentanan itu berbahaya

    • Namun, sudut pandang ini belum terbukti
    • Saat ini, sebagian besar konferensi akademik keamanan mencakup riset serangan

  • Mengejutkan karena tidak ada pembahasan tentang kata sandi

    • Aturan komposisi kata sandi dan rotasi kata sandi pada dasarnya menurut saya bodoh
    • Pengguna seharusnya bisa memilih agar lebih mudah mengingat kata sandinya

  • Berpendapat bahwa pengujian keamanan tidak diperlukan adalah sudut pandang keamanan yang paling buruk

    • Mengatakan bahwa peretasan bukan masalah teknis melainkan masalah sosial juga merupakan pandangan yang keliru

  • Pendekatan yang berorientasi pada keamanan menimbulkan ketidaknyamanan bagi pengguna

    • Penting untuk menyeimbangkan keamanan dan kenyamanan
    • Mempelajari kerentanan dan exploit bermanfaat untuk mempelajari keamanan

  • Peretasan itu keren, tetapi mengakses data dan sistem orang lain tidak demikian

    • Memahami dan memanipulasi sistem milik sendiri secara menyeluruh itu bermanfaat

  • Mempelajari exploit berguna untuk mempelajari teori dan praktik sekaligus

  • Kompromi yang tidak menyenangkan antara kegunaan dan keamanan adalah masalahnya

    • Pendekatan seperti 'Default Permit' merugikan keamanan
    • Kata sandi sulit diingat dan tidak nyaman bagi pengguna

  • Memercayai klien berarti model keamanannya rusak

  • Pendekatan 'Penetrate and Patch' membuat pekerjaan keamanan menjadi tidak bermakna

    • Menemukan dan memperbaiki kerentanan dianggap lebih penting daripada merancang sistem yang aman
    • Ada baiknya membedakan antara akses ilegal dan konsultasi keamanan