Saturday, January 16, 2010

Priorities

It’s interesting how many people don’t realize what are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 priorities in computer security... There are many fields to secure: server security, web applications security, network security, and finally desktop security. Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last years I met SO many people that always expressed surprise why I would like to focus on desktop systems security? They usually argue that today, as everybody knows, it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Network that is what computing is all about and that we should focus on securing infrastructure, and forget about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desktops, which are always to be insecure. The network is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer, as somebody said.

What those people forget about, is that it is always cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desktop that ultimately gets access to all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user’s secretes -- all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 passwords, all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keys, all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate documents, all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nude holiday pictures, all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 secret love letters, all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 credit card numbers, and many more.

However secure were all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 services (remote servers and network protocols) that we use, if our desktop gets compromised it’s all lost. The recent incident with Google is just yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r example of that. Our desktop systems are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most crucial piece of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole puzzle.

It’s funny how many people think that by using some thin client solution on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir desktops cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can solve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem. Of course cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y cannot! Just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that your OS executes on a server, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n on your hardware, doesn’t make it any less prone to all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks that were ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise possible when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software executed on your system.

The attempts to secure desktops have been failing for so many years. While recently cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is some attempt to minimize likelihood of remote attacks via Web browsers (or generally to focus on application security), this is still just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tip of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iceberg -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are so many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r attack avenue that none of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 popular OSes even tries to address, that I consider myself a brave person (not to say stupid) that I actually use my laptop everyday and keep some sensitive information on it ;)

Ok, so that’s a nice piece of complaining you say, but what are we, at ITL, gonna do about it? Well, we just gonna sit and patiently wait for better OSes to appear some day... Oh, hell, we won’t!

Happy New Year :)


9933 F096 8820 0E23 1AF4 078D 8BDB D97D BDEA 9E9D

6 comments:

Tom Chiverton said...

And you're posting random hex digits why ?

Joanna Rutkowska said...

The "random hex digits" is a proof-of-concept exploit that targets a vulnerability in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader's brain related to processing of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "" tags. Included is a simple "connect back" shellcode that, when executed, causes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim to connect to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blogger.com server and post a comment. Use it at your own risk or patch your brain.

thornmaker said...

damnit... my brain is vulnerable too. where can we get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patch? :)

Meguxx said...

what do you think about cloud computing? Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r it is necessary to create some new security system with new concepts? for example - http://www.onlive.com . this is "games on demand" service. but what if it wiil be not games. what if it will be bussines applications or service that replaced home computer? it use only network. all calculating made by servers. all what you will send to server its signals from mouse or keyboard. with this situation what we should think? all problems with vulnerabilities lie down on shoulders of servers system administrators? do you think this concept of safe clouds can will be created or not?

p.s. sorry for my english

Joanna Rutkowska said...

@meguxx: Could computing doesn't really change anything -- you still need to trust your desktop (or smartphone, or whatever terminal you're using). At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker that compromised cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terminal has full access to all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 input (mouse/keyboard) and output (graphics) and can not only sniff it, but also manipulate at will.

And, BTW, cloud computing means that you're sharing your private data with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs (=cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service provider). So, no more private love letters, no more private naked holiday pictures, etc. Think twice before taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blue pill ;)

Unknown said...

I totaly agree with you. If your desktop is not secure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no security at all. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time, even if you would realy have a secure desktop, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest is insecure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benifits are marginal.

@meguxx:
I don't belive cloud computing will bring any benifits for securing your data. Like joanna said, you have to trust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service provider. Even worse after you trust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service provider you have to belive that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 admins working cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 knowledge to secure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir servers, have enough money to build secure systems and last but not least have enough time to take care of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir system.


July 30, 2010