detecting snake oil



working for a bank grants me a privilege to work with a lot of partners in security-related projects. it seems that in most people mind, bank is equal to security, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y tend to set a very high focus on security (which is good) whenever cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have something to present to me. all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 partners i've been working with for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last few years try very hard to prove that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir solutions, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir networks...are secure.


some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m are pretty awesome, working with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m sometimes give me a lot of hints to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right thing (TM) in security. unfortunately, those are rare. in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, most are clueless about security.

here are some hints that maybe helpful if you want to detect those snake-oil companies:


1. security-clueless often talks restlessly about stuff like firewall, ids, and anti-ddos (some even tell me proudly that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir firewalls can strike back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sources of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ddos attack;)). with all due respect to networking gurus, i have to say it seems that a lot of security-clueless people had been networking gurus in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir previous lives. cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most clueless are those who underestimate security as merely a networking issue. cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y tend to think that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y solve all security problems by using tons of fancy networking devices. please remember that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re're 7 layers in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSI model, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weakest one is even not listed: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 human.

2. "you can be secure using our products | our solutions are secure" are something you often hear from a security-clueless. excuse me, secure from what, secure against whom? just go ahead, ask this question and see how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y react. please keep in mind that nothing can be secure against unexpected disasters, i.e. earth quake, flood, electricity blackout, etc...and nothing can be secure against a trusted employee who somehow turns malicious (or maybe mistakenly performs some irreversible actions).

3. security-clueless never pays attention to stuff like scalability and high-availability. cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y think that scalability means performance and high-availability can be solved by using two or more servers in active-standby mode. let me remind you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose of security is not only to protect you against attacks but also to help you serve your users safely whenever cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want. i tend to think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 later includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 former, btw.

4. security-clueless rarely talks about cryptography. verisign ssl certificate seems to become cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 silver bullet answer for all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cryptography-related questions. most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m don't like to discuss cryptography at all which is easy to understand since cryptography is tough and not easy to get right. please don't trust anybody who tell you how secure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y use md5 (without salt) to encrypt your password.

please don't ask how i come to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se conclusions. it's my experience. if you're in doubt (you should be), just don't listen to me.

Comments

Anonymous said…
Thanks for this entry.
Anonymous said…
The best way is to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security triad (confidentiality, integrity and availability) for your detection.