Fashion Security Runway: Architecture Models

--Originally published at (Not so) Random talk

sardonyx.gif

Today, coming down our runway are the security architectures, showing us their models. Show your enthusiasm and let’s begin!

*cue sassy music in*

 

The first model is State Machine. It is using states to verify the security of a system, capturing all the current permissions and instances of subjects accessing objects. Getting the job done, it is dealing with each subject’s association with objects. If the subjects can only access objects by means that are concurrent with the security policy, the system is secure. To alter a state, a transition (activity) must happen, though if all activities do not comprise the system and put It into an insecure state, then the system executes a secure state machine model. If a secure state fails, safety measures like a reboot or system freeze must happen in order to protect the system, itself, and data.  As you can see, this is a very basic attire.

state-machine

 

And just as we were saying this, the next Bell-LaPadula model indeed takes the prior basic attire and modifies it into its own style. It is a multilevel security style, with users of different clearences using the system and the system process data with different classifications, and it is an implementation of its predecessor that enforces confidentiality aspects in access control. Its’ goal? Enforce secrets and prevent data leakage.  A matrix and security levels are used to determine if subjects can access different objects. The subject’s clearance is compared to the object’s classification; if the clearance is higher or equal to the object’s classification, the subject can access the object without violating the security policy. If properly implemented and enforced, this model has been mathematically proven to prevent data from a higher security level from flowing to a lower security level. It is an information flow

Resultado de imagen para biba model
Continue reading "Fashion Security Runway: Architecture Models"

Administrando el peligro

--Originally published at (Not so) Random talk

En el sector público y privado se tienen diferentes usos para la información y las nuevas tecnologías, como ya hemos visto eso conlleva a tener presentes una serie muy grande de peligros y vulnerabilidades latentes. Las diferentes compañías y empleados que generan las nuevas tecnologías deben no sólo ser capaces de reaccionar ante estas vulnerabilidades, sino también manejarlas y evaluarlas para poder otorgar un grado mayor de seguridad a los usuarios.

Los diferentes objetivos que conlleva el evaluar estos riesgos son:

  • Encontrar peligros para la organización.
  • Detectar vulnerabilidades dentro y fuera de la organización.
  • Evaluar el impacto del explotamiento de dichas vulnerabilidades.
  • Conocer el porcentaje de probabilidad de ser explotada de una vulnerabilidad.

Es decir, se lleva una evaluación que determinará el riesgo.

Los riesgos en las organizaciones deben ser vistos a partir de diferentes puestos de trabajo los cuales terminan abarcando todas las jerarquías. Los dirigentes deben saber tanto como los programadores sobre los riesgos que puede implicar el uso de la tecnología, convirtiendo la tarea del asesoramiento de riesgos algo realmente complicado.

Una manera de entender esto es lo siguiente: Digamos que se te pide que realices un formulario con la contraseña de la gente.

Hecho 1: El jefe, al no saber sobre riesgos acepta el trabajo aún sin especificar claramente que no se debe mostrar en algún lado esa información.

Hecho 2: El empleado al no saber sobre la seguridad de contraseñas ni peticiones, envía la contraseña dentro del url para que la página que le utiliza le pueda verificar.

Hecho 3: Un atacante se da cuenta del error y roba información cuando el producto sale a la venta.

cross_eyed

Todo lo anterior da como resultado que la empresa quede en mala posición, se pierda dinero por la necesidad de arreglar el error, probablemente el programador sea despedido

24684402
Continue reading "Administrando el peligro"

Type your username and password here

--Originally published at (Not so) Random talk

Diego's Password

Please, input your username and password to read this post:

        Username:
        Password:

You didn’t fall under our little trap/joke right? (Really, hopefully you didn’t).

tumblr_n08pabyCmL1skoud9o1_500.gif

Anyways, jokes aside, this kind of things that many pages like Facebook or Gmail, or that even your computer when you start it does, it’s called Authentication. What it basically does, is assuring that you are, indeed, you. Sounds funny, but we said we were leaving jokes aside. It is a fundamental security block (if not imagine, someone through the web could get your info without anything to block them, or your friends posting on your FB account). It is made in two steps: identification – identify the username – and verification – bind the identification and the entity.

key-animated-gif-11.gif

As you probably already know, authentication can be made through something you know (password), something you have (card or…

Ver la entrada original 460 palabras más