|
Als je naar een grote veiligheidsconferentie gaat, laat het gaan om B-Sides, BlackHat of DefCon. De kans is groot dat je een lockpick dorpje treft. Maar waarom? Afgezien van het feit dat het goed is om gewoon te zitten en stil te zijn (zie n aantal berichten over mindfulness), geloof ik echt dat lock picking een goede ijsbreker is en een weg biedt om te praten over het belang van veiligheid. Neem uw standaard hangsloten (4-stiftcilindersloten), deze zijn gebruikelijk en voldoen aan de functionele eisen. Ze zijn gebouwd voor een specifiek bedreigingsmodel en doen hun werk goed. De hangsloten zijn echter heel gemakkelijk te lockpicken, de tools zijn gemakkelijk verkrijgbaar en de tutorials zijn overal op het internet te vinden. Voor mij zijn deze hangsloten een goed voorbeeld van het bouwen aan een set van (functionele) eisen, en het testen aan een set van (functionele) eisen. Het product werkt, het verkoopt, maar het is niet veilig. Daarnaast vereist de invoering van beveiliging nu een compleet nieuw ontwerp van de mechanica, wat enorm duur is. Stimuleer het verplaatsen van de beveiligingAls ik deze lock picking sessies doe, heb ik het al vanaf het begin over de kracht van beveiliging (en andere KMO’s). We kunnen ondersteuning bieden bij het ontwerp, architecturen beoordelen, testen en betrouwbare adviseurs worden. We kunnen ook praten over Dreigingsmodellen, en hoe beveiliging zelfs in de ontwerp- en ideatiefase kan ondersteunen. Dreigingsvectoren, het dreigingslandschap en dreigingsactoren. Bijvoorbeeld, in Amsterdam, is een sterk 4-pins hangslot dat mijn fiets beschermt meer in gevaar tegen freesmachines dan lockpickers. Dat zou moeten bepalen hoe ik besluit om mijn bezit te beschermen. Dat is misschien niet overal het geval. Introduceert het concept van veiligheidstestenNiet alleen het testen van de pennen, maar ook het testen van de veiligheid van een product in elke fase. Wanneer we een lockpick maken, hebben we de gelegenheid om de mechanica van het slot te bespreken en te bespreken waarom het gemakkelijk is om het slot te kiezen. Zelfs wanneer we overstappen op andere stiftcilindersloten. Het introduceren van de kracht van een veiligheidsverbintenis om ervoor te zorgen dat de kwetsbaarheid niet wordt doorgegeven aan andere implementaties van de mechanica (de veergeladen sloten). We kunnen parallellen trekken met het bespreken van technische patronen en hoe we veiligheidstesten kunnen introduceren op dezelfde manier als we functionele eisen testen gebruiken om de aanwezigheid – of het verhelpen – van kwetsbaarheden continu te valideren (bv. bij elke bouw). Bouw een goed team opLock picking sessies zijn ook geweldige reclame-instrumenten. ik doe wat reclame op Slack, in kantoor nieuwsbrieven en via mond-tot-mondreclame, maar er gaat niets boven het overnemen van een van de tafels in een gemeenschappelijke ruimte door aan te komen met de vraag: “wil je leren hoe je een slot kunt lockpicken?”. Dit soort sessies zijn ontwapenend, mensen zijn geintrigeerd, ze willen meer leren en nu, als ze de tijd nemen om te leren hoe ze de lockpicks vast moeten houden en gebruiken, heb je een geinteresseerd publiek om mee te praten over veiligheid met. Het belangrijkste is dat ze weten wie je nu bent. Je bent een contactpersoon in een team waar ze misschien weinig over wisten, een bron die ze kunnen gebruiken om vragen te stellen, advies te vragen of zelfs vertrouwen in te stellen. Lockpicking is volledig legaal, goedkoper dan het runnen van meerdere team lunches en biedt veel plezier. Waarom zou je het niet proberen? FYI: De beste lockpicks die ik heb gebruikt zijn van Sparrows, deze zijn niet gemakkelijk te breken en zijn veel fijner om vast te houden dan andere goedkopere merken. Er is echter niets mis met het gebruik van een goedkopere set van Amazon, wees er wel op voorbereid dat ze breken! |
| http://slotenmaker.webie.nl/ |
