कंप्यूटर सुरक्षा के छह मूर्खतापूर्ण विचार (2005)

 (ranum.com)
5 पॉइंट द्वारा GN⁺ 2024-07-16 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • कंप्यूटर सुरक्षा में सबसे मूर्खतापूर्ण छह विचार
    • कंप्यूटर सुरक्षा अब भी एक "hot topic" है
    • बहुत समय और पैसा निवेश करने के बाद भी समस्याएँ क्यों बनी रहती हैं?

डिफ़ॉल्ट अनुमति

  • "डिफ़ॉल्ट अनुमति" कई रूपों में दिखाई देती है
  • यह firewall rules में सबसे आम तौर पर देखी जाती है
  • जब कोई नई vulnerability मिलती है, तो administrator को तय करना पड़ता है कि उसे block करना है या नहीं
  • "डिफ़ॉल्ट अनुमति" हैकर्स के साथ अंतहीन प्रतिस्पर्धा पैदा करती है
  • इसका उलटा विचार, "डिफ़ॉल्ट अस्वीकृति", एक अच्छा विचार है

बुरी चीज़ों की सूची बनाना

  • शुरुआती कंप्यूटर सुरक्षा में केवल कुछ ही प्रसिद्ध security holes थे
  • "बुरी चीज़ों की सूची बनाना" का मतलब है सभी malicious तत्वों को सूचीबद्ध करके उन्हें block करना
  • इंटरनेट पर malicious तत्व अब अच्छे तत्वों से अधिक हो गए हैं
  • "बुरी चीज़ों की सूची बनाना" अक्षम है, और "अच्छी चीज़ों की सूची बनाना" बेहतर तरीका है

घुसपैठ और patch

  • "घुसपैठ और patch" bug ढूँढ़कर उन्हें ठीक करने का तरीका है
  • यह तरीका code की बुनियादी समस्याओं को हल नहीं करता
  • security vulnerabilities को ढूँढ़कर patch करना कोई मूलभूत समाधान नहीं है
  • security systems को design stage से ही सुरक्षित बनाया जाना चाहिए

हैकिंग कूल है

  • हैकिंग को कूल समझना एक मूर्खतापूर्ण विचार है
  • हैकिंग एक सामाजिक समस्या है, तकनीकी समस्या नहीं
  • हैकरों को नायक बनाना, हैकिंग को बढ़ावा देना है
  • security experts का hacking techniques सीखना भी एक मूर्खतापूर्ण विचार है

उपयोगकर्ता शिक्षा

  • उपयोगकर्ता शिक्षा, "घुसपैठ और patch" का मानवीय संस्करण है
  • उपयोगकर्ताओं को शिक्षित करना कोई मूलभूत समाधान नहीं है
  • समस्या को सुलझाने के बजाय समस्या को हटाना बेहतर तरीका है

कार्रवाई, निष्क्रियता से बेहतर है

  • "कार्रवाई, निष्क्रियता से बेहतर है" यह विचार भी मूर्खतापूर्ण है
  • नई तकनीक अपनाने से पहले पर्याप्त समीक्षा करना और इंतज़ार करना बेहतर रणनीति है
  • यह याद रखना चाहिए कि "मूर्खतापूर्ण कार्रवाई न करना, समझदारी भरी कार्रवाई करने से आसान है"

GN⁺ का सार

  • यह लेख कंप्यूटर सुरक्षा में अक्सर की जाने वाली मूर्खतापूर्ण गलतियों पर चर्चा करता है
  • security systems को design करते समय मूलभूत समस्याओं को हल करना महत्वपूर्ण है
  • हैकिंग को कूल मानने वाली संस्कृति, हैकिंग की समस्या को और खराब कर सकती है
  • उपयोगकर्ता शिक्षा की तुलना में समस्या को मूल से हल करने वाला दृष्टिकोण ज़रूरी है
  • नई तकनीक अपनाते समय पर्याप्त समीक्षा और सावधानीपूर्वक आगे बढ़ना महत्वपूर्ण है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-07-16
Hacker News टिप्पणियाँ

  • 'Default Deny', 'Default Permit' से ज़्यादा कठिन नहीं है, लेकिन IT security के जिम्मेदार लोगों को बेहतर नींद देता है

    • लेकिन कंपनी के बाकी लोग IT विभाग के साथ कई बार अतिरिक्त काम किए बिना कुछ भी काम न करने से बहुत परेशान हो जाते हैं
    • लोग जितने ज़्यादा परेशान होते हैं, उतनी ही अधिक संभावना होती है कि वे IT security अवधारणाओं को कमजोर करने वाले workaround इस्तेमाल करें
    • अच्छी IT security ऐसी जादू जैसी होनी चाहिए जो users को दिखाई न दे और बाधा न बने

  • 90 के दशक के उत्तरार्ध और 2000 के शुरुआती वर्षों में Marcus Ranum और Bruce Schneier ने तर्क दिया था कि vulnerability disclosure हानिकारक है

    • लेकिन यह दृष्टिकोण साबित नहीं हुआ
    • आज अधिकांश security academic conferences में attack research शामिल होता है

  • passwords का कोई उल्लेख नहीं है, यह हैरान करने वाला है

    • password composition rules और password rotation मूल रूप से मूर्खतापूर्ण हैं
    • users को password ऐसे चुनने देने चाहिए जिन्हें वे आसानी से याद रख सकें

  • यह कहना कि security testing की ज़रूरत नहीं है, security पर सबसे खराब दृष्टिकोण है

    • यह दावा करना भी गलत दृष्टिकोण है कि hacking तकनीकी समस्या नहीं बल्कि सामाजिक समस्या है

  • security-oriented approach users के लिए असुविधा पैदा करता है

    • security और convenience के बीच संतुलन बनाना महत्वपूर्ण है
    • vulnerabilities और exploits का अध्ययन करना security सीखने के लिए लाभदायक है

  • hacking शानदार चीज़ है, लेकिन दूसरों के data और systems तक पहुंच बनाना वैसा नहीं है

    • अपने खुद के system को गहराई से समझना और उसे नियंत्रित करना लाभदायक है

  • exploits सीखना theory और practice को साथ में सीखने के लिए उपयोगी है

  • usability और security के बीच दुर्भाग्यपूर्ण trade-off ही समस्या है

    • 'Default Permit' जैसी approach security के लिए हानिकारक है
    • passwords users के लिए याद रखना कठिन और असुविधाजनक हैं

  • client पर भरोसा करना मतलब security model का टूट जाना है

  • 'Penetrate and Patch' approach security work को निरर्थक बना देता है

    • systems को सुरक्षित रूप से design करने से अधिक महत्वपूर्ण vulnerabilities को ढूंढना और ठीक करना मान लिया जाता है
    • अवैध access और security consulting के बीच अंतर करना अच्छा है