Tag: Security

Security Engineering – The Book

Security Engineering (A Guide to Building Dependable Distributed Systems) by Ross Anderson. Available for download:

“[…] This book grew out of the security engineering courses I teach at Cambridge University, but I have rewritten my notes to make them self-contained and added at least as much material again. It should be useful to the established professional security manager or consultant as a first-line reference; to the computer science professor doing research in cryptology; to the working police detective trying to figure out the latest computer scam; and to policy wonks struggling with the conflicts involved in regulating cryptography and anonymity. Above all, it is aimed at Dilbert. My main audience is the working programmer or engineer who is trying to design real systems that will keep on working despite the best efforts of customers, managers, and everybody else. […]”

ICT Security 2006 και κάποιες σκέψεις

Η ημερίδα[1] πήγε πολύ καλά. Έφερε για πολλές ώρες στον ίδιο χώρο τρεις Ανεξάρτητες Αρχές[2] (ΕΕΤΤ, ΑΔΑΕ, ΑΠΔ) Νομικούς, Μηχανικούς και λοιπούς Επιστήμονες ΤΠΕ που καλούνται να εφαρμόσουν μια σειρά από Κοινοτικές Οδηγίες, Νόμους και Κανονισμούς των τριών Αρχών.

Αν κάποιος πρέπει να σταθεί σε δύο σημεία που προέλυψαν από την ημερίδα, η γνώμη μου είναι πως αυτά είναι:

1. Η διαπίστωση των επικαλυπτόμενων περιοχών αρμοδιοτήτων ανάμεσα σε δύο ή και τρεις από τις Αρχές. Αυτό για τους επαγγελματίες του χώρου ήταν μια πραγματικότητα εδώ και καιρό, είναι όμως η πρώτη φορά που τουλάχιστον εγώ το είδα να περιγράφεται ανοιχτά και επίσημα ως διαπίστωση.

2. Το καίριο ερώτημα ακροατή (για όσους έμειναν μέχρι το τέλος) για το "ποιο πρέπει να είναι το profile του εμπειρογνώμονα για θέματα ηλεκτρονικής ασφάλειας;", το οποίο κατά τη γνώμη μου κανείς από τους δύο ερωτηθέντες δεν απάντησε επαρκώς, αν και μίλησαν αρκετή ώρα. Συνοψίζοντας ταχύτατα τις απαντήσεις (όπως τις αντιλλήφθηκα):

α. "Ο εμπειρογνώμονας δεν πρέπει να είναι εξαρτημένος από εργαλείο". Εγώ εδώ αντιλλαμβάνομαι νύξη του style: Αν έχω αγοράσει το EnCase δε σημαίνει πως είμαι και εμπειρογνώμονας και πολύ σωστά, αλλά δε λέει κάτι για το ποιος μπορεί να είναι εμπειρογνώμονας.

β. "Ο εμπειρογνώμονας δε μπορεί να είναι άτομο, αλλά Αρχή". Έχω φοβερές διαφωνίες με αυτή την άποψη. Δεν είναι δυνατό να εντάξει κανείς όλους τους digital forensics experts στη Χώρα κάτω από μια Αρχή. Αυτό που μπορεί να κάνει είναι να θέσει κανόνες για το ποιος μπορεί να βρίσκεται σε Μητρώα digital forensics experts (φυσικών προσώπων και εταιριών) ώστε ο Πολίτης όταν χρειάζεται τεχνικό σύμβουλο και δεν ξέρει που να απευθυνθεί να έχει ένα σημείο εκκίνησης. Το ΤΕΕ για παράδειγμα τηρεί (και μπορεί να επεκτείνει) τέτοια Μητρώα για τα μέλη του όπως έχει δημοσιευτεί στο ΕΔ 2201 του 2001. Το ίδιο και αρκετά περιφερειακά Τμήματα.

Footnotes:

[1] Γιατί όσοι θέλουν να κάνουν ένα συνέδριο / ημερίδα / κάτι που έχει τη δυναμική να είναι ετήσιο το καταχωρούν σε ιστοχώρο της μορφής http://www.ΌνομαΣυνεδρίουΈτος.TLD δε μπορώ να καταλάβω. Μετά από 10 χρόνια θα συντηρεί κανείς 10 domains; Με βάση το παράδειγμα της ημερίδας, δεν είναι πιο κομψό το http://2006.ictsecurity.gr/ ;

[2] Αν και με δήλωση της κας. Λίλιαν Μήτρου η ΕΕΤΤ θα έπρεπε να αναφέρεται σαν Ρυθμιστική Αρχή (κατά τα λεγόμενά της "…με κίνδυνο να παρεξηγηθώ…").

Ερωτήσεις και απαντήσεις για τις τηλεφωνικές υποκλοπές

Αφού ο καθένας -ειδικός και μη- έχει πει δημοσίως τη γνώμη του υπερπληροφορόντας, παραπληροφορόντας και τρομάζοντας τον κόσμο είτε εν γνώση του, είτε άθελά του, βρέθηκε και ένας άνθρωπος να πει μερικά σωστά πράγματα.

Το άρθρο αυτό το βρήκα στο τεύχος 9 του περιοδικού on-line που εκδίδει ο Πανελλήνιος Σύλλογος Διπλωματούχων Μηχανικών Η/Υ & Πληροφορικής.

Update: Νεότερη δουλειά από τον κ. Σπινέλλη για το θέμα: “The Athens Affair“.