Στον σημερινό διασυνδεδεμένο κόσμο, το μόνο που χρειάζεται είναι ένα λάθος ασφαλείας που θα κάνει τον κόσμο σας να καταρρεύσει. Ποιος καλύτερα να απευθυνθεί για συμβουλές από τον εμπειρογνώμονα ασφαλείας Bruce Schneier;
Εάν έχετε ακόμη και ένα ενδιαφέρον που περνάει για θέματα ασφαλείας Red Alert: 10 Blogs για την Ασφάλεια Υπολογιστών θα πρέπει να ακολουθήσετε σήμερα Red Alert: 10 Ιστολόγια Ασφάλειας Υπολογιστών θα πρέπει να ακολουθήσετε Σήμερα Η ασφάλεια είναι ένα κρίσιμο κομμάτι της πληροφορικής και θα πρέπει να προσπαθήσετε να εκπαιδεύσετε τον εαυτό σας και να μείνετε . Θα θελήσετε να ελέγξετε αυτά τα δέκα ιστολόγια ασφαλείας και τους ειδικούς ασφαλείας που τις γράφουν. Διαβάστε περισσότερα, έπειτα σίγουρα συναντήσατε τα συγγράμματα του Bruce Schneier, ενός παγκοσμίως γνωστού γκουρού ασφαλείας που έχει υπηρετήσει σε πολυάριθμες κυβερνητικές επιτροπές, κατέθεσε ενώπιον του Κογκρέσου και είναι ο συγγραφέας δώδεκα βιβλίων για ζητήματα ασφάλειας μέχρι στιγμής, καθώς και αμέτρητα δοκίμια και ακαδημαϊκά έγγραφα.
Μετά από ακρόαση για το νεότερο βιβλίο του Schneier, Carry On: Sound Advice από την Schneier για την ασφάλεια, αποφασίσαμε ότι ήρθε η ώρα να φτάσουμε στον Bruce για να πάρουμε κάποιες συμβουλές σχετικά με κάποιες από τις δικές μας επιτακτικές ανησυχίες για την ιδιωτικότητα και την ασφάλεια.
Bruce Schneier - Συμβουλές ήχου
Σε έναν παγκόσμιο κόσμο γεμάτο με διεθνή ψηφιακή κατασκοπεία, κακόβουλα προγράμματα και απειλές για ιούς και ανώνυμους χάκερς γύρω από κάθε γωνιά - μπορεί να είναι ένα πολύ τρομακτικό μέρος για οποιονδήποτε να πλοηγηθεί.
Μην φοβηθείτε - γιατί ζητήσαμε από τον Bruce να μας δώσει κάποια καθοδήγηση σχετικά με μερικά από τα πιό πιεστικά ζητήματα ασφαλείας 5 πράγματα που μάθαμε για την ασφάλεια στο Διαδίκτυο το 2013 5 πράγματα που μάθαμε για την ασφάλεια στο Διαδίκτυο το 2013 Οι απειλές έχουν γίνει πιο περίπλοκες και, που προέρχονται τώρα από μέρη που οι περισσότεροι δεν θα περίμεναν ποτέ - όπως η κυβέρνηση. Εδώ είναι 5 σκληρά μαθήματα που μάθαμε για την online ασφάλεια το 2013. Διαβάστε περισσότερα σήμερα. Μετά την ανάγνωση αυτής της συνέντευξης, θα ξεφύγετε τουλάχιστον με μεγαλύτερη συνειδητοποίηση των πραγματικών απειλών και τι μπορείτε πραγματικά να κάνετε για να προστατευθείτε.
Κατανόηση του θεάτρου ασφαλείας
MUO: Ως καταναλωτής, πώς μπορώ να διακρίνω το "θέατρο ασφαλείας" από μια πραγματικά ασφαλής εφαρμογή ή υπηρεσία; (Ο όρος "θέατρο ασφαλείας" επιλέχθηκε από τον όρο που δημιουργήσατε στα προηγούμενα γραπτά σας σχετικά με τον τρόπο με τον οποίο οι εφαρμογές και οι υπηρεσίες υποστηρίζουν την ασφάλεια ως σημείο πώλησης.)
Bruce: Δεν μπορείς. Στην εξειδικευμένη και τεχνολογική μας κοινωνία, δεν μπορείτε να πείτε καλά από κακά προϊόντα και υπηρεσίες σε πολλές περιοχές. Δεν μπορείτε να πείτε ένα δομικά εύστοχο αεροσκάφος από ένα μη ασφαλές. Δεν μπορείτε να πείτε σε έναν καλό μηχανικό από έναν τερλατάνο. Δεν μπορείτε να πείτε ένα καλό φαρμακευτικό προϊόν από λάδι φιδιού. Αυτό είναι εντάξει. Στην κοινωνία μας, εμπιστευόμαστε τους άλλους να κάνουν αυτούς τους προσδιορισμούς για μας. Έχουμε εμπιστοσύνη στα κυβερνητικά προγράμματα αδειοδότησης και πιστοποίησης Έχουμε εμπιστοσύνη στην αναθεώρηση οργανισμών όπως η Ένωση Καταναλωτών. Έχουμε εμπιστοσύνη στις συστάσεις των φίλων και των συναδέλφων μας. Έχουμε εμπιστοσύνη στους εμπειρογνώμονες Μείνετε ασφαλείς στο διαδίκτυο: Ακολουθήστε 10 εμπειρογνώμονες ασφαλείας υπολογιστών στο Twitter Μείνετε ασφαλείς on-line: Ακολουθήστε 10 εμπειρογνώμονες ασφαλείας υπολογιστών στο Twitter Υπάρχουν απλά βήματα που μπορείτε να πάρετε για να προστατευθείτε σε απευθείας σύνδεση. Χρησιμοποιώντας ένα τείχος προστασίας και λογισμικό προστασίας από ιούς, δημιουργώντας ασφαλείς κωδικούς πρόσβασης, χωρίς να αφήνετε τις συσκευές σας αφύλακτες. όλα αυτά είναι απόλυτα απαραίτητα. Πέρα από αυτό έρχεται κάτω ... Διαβάστε περισσότερα.
Η ασφάλεια δεν είναι διαφορετική. Επειδή δεν μπορούμε να πούμε σε μια ασφαλή εφαρμογή ή υπηρεσία πληροφορικής από έναν ανασφαλές, πρέπει να βασιστούμε σε άλλα σήματα. Φυσικά, η ασφάλεια της πληροφορικής είναι τόσο περίπλοκη και γρήγορη, ώστε τα σήματα αυτά να αποτύχουν. Αλλά αυτή είναι η θεωρία. Αποφασίζουμε ποιος εμπιστευόμαστε και στη συνέχεια αποδεχόμαστε τις συνέπειες αυτής της εμπιστοσύνης.
Το τέχνασμα είναι να δημιουργηθούν ικανοποιητικοί μηχανισμοί εμπιστοσύνης.
Έλεγχοι ασφάλειας DIY;
MUO: Τι είναι ένας "έλεγχος κώδικα" ή ένας "έλεγχος ασφαλείας" και πώς λειτουργεί; Το Crypto.cat ήταν ανοικτού κώδικα, το οποίο έκανε κάποιους ανθρώπους να αισθάνονται ότι ήταν ασφαλείς, αλλά αποδείχθηκε ότι κανείς δεν το έλεγξε. Πώς μπορώ να βρω αυτούς τους ελέγχους; Υπάρχουν τρόποι να μπορώ να ελέγξω τη δική μου καθημερινή χρήση εργαλείων, για να βεβαιωθώ ότι χρησιμοποιώ πράγματα που με προστατεύουν πραγματικά;
Bruce: Ένας έλεγχος σημαίνει τι νομίζεις ότι σημαίνει: κάποιος άλλος το κοίταξε και το προφέρεται καλά. (Ή, τουλάχιστον, βρήκε τα κακά μέρη και είπε σε κάποιον να τα διορθώσει.)
Οι επόμενες ερωτήσεις είναι επίσης προφανείς: ποιος το έλεγξε, πόσο εκτεταμένος ήταν ο έλεγχος και γιατί πρέπει να τους εμπιστεύεστε; Εάν είχατε ποτέ επιθεωρήσεις στο σπίτι όταν αγοράσατε ένα σπίτι, καταλαβαίνετε τα προβλήματα. Στο λογισμικό, οι ορθοί έλεγχοι ασφαλείας είναι πλήρεις και δαπανηρές και - στο τέλος - δεν υπάρχει εγγύηση ότι το λογισμικό είναι ασφαλές.
Οι έλεγχοι μπορούν να βρουν μόνο προβλήματα. δεν μπορούν ποτέ να αποδείξουν την απουσία προβλημάτων. Μπορείτε να ελέγξετε σίγουρα τα δικά σας εργαλεία λογισμικού, υποθέτοντας ότι έχετε τις απαιτούμενες γνώσεις και εμπειρία, την πρόσβαση στον κώδικα λογισμικού και την ώρα. Είναι ακριβώς όπως το δικό σας γιατρό ή δικηγόρο. Αλλά δεν το συνιστώ.
Απλά πετάξτε κάτω από το ραντάρ;
MUO: Υπάρχει επίσης η ιδέα ότι εάν χρησιμοποιείτε τέτοιες εξαιρετικά ασφαλείς υπηρεσίες ή προφυλάξεις, ενεργείτε με κάποιο τρόπο ύποπτες. Εάν η ιδέα αυτή έχει αξία, πρέπει να επικεντρωθούμε λιγότερο στις πιο ασφαλείς υπηρεσίες και αντ 'αυτού να προσπαθήσουμε να πετάξουμε κάτω από το ραντάρ; Πώς θα το κάναμε αυτό; Ποια συμπεριφορά θεωρείται ύποπτη, δηλαδή τι σας φέρνει αναφορά μειοψηφίας; Ποια είναι η καλύτερη τακτική για "χαμηλό";
Bruce: Το πρόβλημα με την έννοια του να πετάς κάτω από το ραντάρ ή που βρίσκεται χαμηλά είναι ότι βασίζεται σε προ-υπολογιστικές αντιλήψεις για τη δυσκολία να παρατηρήσεις κάποιον. Όταν οι άνθρωποι ήταν αυτοί που έκαναν την παρακολούθηση, είχε νόημα να μην προσελκύσουν την προσοχή τους.
Αλλά οι υπολογιστές είναι διαφορετικοί. Δεν περιορίζονται από τις ανθρώπινες έννοιες της προσοχής. μπορούν να παρακολουθήσουν τους πάντες ταυτόχρονα. Έτσι, ενώ μπορεί να είναι αλήθεια ότι η χρήση της κρυπτογράφησης είναι κάτι που η NSA λαμβάνει ιδιαίτερη σημείωση, η μη χρήση της δεν σημαίνει ότι θα παρατηρήσετε λιγότερα. Η καλύτερη άμυνα είναι να χρησιμοποιείτε ασφαλείς υπηρεσίες, ακόμη και αν είναι κόκκινη. Σκεφτείτε με αυτό τον τρόπο: παρέχετε κάλυψη σε όσους χρειάζονται κρυπτογράφηση για να παραμείνουν ζωντανοί.
Προστασία προσωπικών δεδομένων και κρυπτογραφία
MUO: Ο Vint Cerf είπε ότι η ιδιωτικότητα είναι μια σύγχρονη ανωμαλία και ότι δεν έχουμε εύλογη προσδοκία για την προστασία της ιδιωτικής ζωής στο μέλλον. Συμφωνείτε με αυτό; Είναι η ιδιωτικότητα μια σύγχρονη ψευδαίσθηση / ανωμαλία;
Bruce: Φυσικά όχι. Το απόρρητο είναι μια θεμελιώδης ανθρώπινη ανάγκη και κάτι πολύ πραγματικό. Θα χρειαστούμε την ιδιωτική ζωή στις κοινωνίες μας, εφ 'όσον αποτελούνται από ανθρώπους.
MUO: Θα λέγατε ότι εμείς σαν μια κοινωνία έχουμε απογοητεύσει την κρυπτογραφία δεδομένων;
Bruce: Σίγουρα εμείς ως σχεδιαστές και κατασκευαστές υπηρεσιών πληροφορικής έχουμε γίνει εφησυχασμένοι για την κρυπτογραφία και την ασφάλεια των δεδομένων γενικότερα. Έχουμε δημιουργήσει ένα Διαδίκτυο που είναι ευάλωτο στη μαζική επιτήρηση, όχι μόνο από την ΕΑΑ αλλά από κάθε άλλη εθνική οργάνωση πληροφοριών στον πλανήτη, τις μεγάλες εταιρείες και τους εγκληματίες του κυβερνοχώρου. Αυτό το κάναμε για διάφορους λόγους, που κυμαίνονται από "είναι πιο εύκολο από αυτόν τον τρόπο" έως "μας αρέσει να παθαίνουμε τα πράγματα δωρεάν στο Διαδίκτυο." Αλλά αρχίζουμε να συνειδητοποιούμε ότι η τιμή που πληρώνουμε είναι στην πραγματικότητα αρκετά υψηλή, έτσι ελπίζουμε ότι θα κάνουμε μια προσπάθεια να αλλάξουμε τα πράγματα.
Βελτίωση της ασφάλειας και της ιδιωτικής ζωής σας
MUO: Ποια μορφή / συνδυασμός κωδικών πρόσβασης / εξουσιοδότησης θεωρείτε πιο ασφαλείς; Ποιες "βέλτιστες πρακτικές" θα συνιστούσατε στη δημιουργία ενός αλφαριθμητικού κωδικού πρόσβασης;
Bruce: Έγραψα πρόσφατα για αυτό. Οι λεπτομέρειες αξίζουν την ανάγνωση.
Σημείωση του συγγραφέα: Το συνδεδεμένο άρθρο περιγράφει τελικά το "Schneier Scheme" που λειτουργεί για την επιλογή ασφαλών κωδικών πρόσβασης 7 τρόποι για να δημιουργήσετε κωδικούς πρόσβασης οι οποίοι είναι τόσο ασφαλείς και αναμνηστικοί 7 τρόποι για να δημιουργήσουν κωδικούς πρόσβασης που είναι και οι δύο ασφαλείς και αξέχαστοι Έχοντας έναν διαφορετικό κωδικό πρόσβασης για κάθε υπηρεσία είναι ένας μούστος στον σημερινό σε απευθείας σύνδεση κόσμο, αλλά υπάρχει μια φοβερή αδυναμία στους τυχαία παραγόμενους κωδικούς πρόσβασης: είναι αδύνατο να τα θυμηθούμε όλα. Αλλά πώς μπορείτε να θυμηθείτε ... Διαβάστε περισσότερα, πράγματι αναφέρθηκε από το δικό του άρθρο του 2008 σχετικά με το θέμα.
"Η συμβουλή μου είναι να πάρετε μια πρόταση και να την μετατρέψετε σε κωδικό πρόσβασης. Κάτι σαν αυτό το μικρό γουρουνάκι πήγε στην αγορά μπορεί να γίνει "tlpWENT2m". Αυτός ο κωδικός εννέα χαρακτήρων δεν θα βρίσκεται σε λεξικό κανενός. Φυσικά, μην το χρησιμοποιείτε, επειδή έχω γράψει γι 'αυτό. Επιλέξτε τη δική σας πρόταση - κάτι προσωπικό. "
MUO: Πώς μπορεί ο μέσος χρήστης να αντιμετωπίσει καλύτερα τις ειδήσεις ότι ο λογαριασμός του σε παγκοσμίου φήμης διαδικτυακό τόπο, τράπεζα ή πολυεθνική εταιρεία έχει παραβιαστεί (μιλώ για παραβιάσεις δεδομένων του τύπου Adobe / LinkedIn εδώ, αντί για ένας τραπεζικός λογαριασμός παραβιάστηκε μέσω απάτης με κάρτες); Πρέπει να μεταφέρουν την επιχείρησή τους; Τι νομίζετε ότι θα χρειαστεί να υπογραμμίσετε στα τμήματα ασφάλειας πληροφορικής / δεδομένων ότι η άμεση, πλήρης αποκάλυψη είναι η καλύτερη PR;
Bruce : Αυτό μας φέρνει πίσω στην πρώτη ερώτηση. Δεν μπορούμε να κάνουμε πολλά, όπως οι πελάτες μπορούν να κάνουν για την ασφάλεια των δεδομένων μας όταν βρίσκονται σε χέρια άλλων οργανισμών. Απλά πρέπει να εμπιστευθούμε ότι πρόκειται να εξασφαλίσουν τα δεδομένα μας. Και όταν δεν το κάνουν - όταν υπάρχει μεγάλη παραβίαση ασφαλείας - η μόνη δυνατή απάντησή μας είναι να μεταφέρουμε τα δεδομένα μας κάπου αλλού.
Αλλά 1) δεν ξέρουμε ποιος είναι πιο ασφαλής και 2) δεν έχουμε καμία εγγύηση ότι τα δεδομένα μας θα διαγραφούν όταν μετακινηθούμε. Η μόνη πραγματική λύση εδώ είναι η ρύθμιση. Όπως πολλοί τομείς στους οποίους δεν διαθέτουμε την εμπειρογνωμοσύνη για την αξιολόγηση και απαιτούνται εμπιστοσύνη, αναμένουμε από την κυβέρνηση να παρέμβει και να προσφέρει μια αξιόπιστη διαδικασία στην οποία μπορούμε να στηριχθούμε.
Στον τομέα της πληροφορικής, θα λάβει νομοθεσία για να εξασφαλίσει ότι οι εταιρείες θα εξασφαλίζουν τα δεδομένα μας επαρκώς και θα μας ενημερώνουν όταν υπάρχουν παραβιάσεις της ασφάλειας.
συμπέρασμα
Είναι αυτονόητο ότι ήταν μια τιμή να καθίσετε και (ουσιαστικά) να συζητήσετε αυτά τα θέματα με τον Bruce Schneier. Αν ψάχνετε για ακόμα περισσότερη διορατικότητα από τον Bruce, φροντίστε να δείτε το τελευταίο βιβλίο του, το Carry On, που υπόσχεται ότι ο Μπρους θα πάρει σήμερα σημαντικά ζητήματα ασφάλειας, όπως ο βομβαρδισμός του Μαραθωνίου της Βοστώνης, η επιτήρηση των NSA και οι κινεζικές επιθέσεις στον κυβερνοχώρο. Μπορείτε επίσης να πάρετε τακτικές δόσεις του Bruce στο blog του.
Όπως μπορείτε να διαπιστώσετε από τις παραπάνω απαντήσεις, η διατήρηση της ασφάλειας σε έναν ανασφαλές κόσμο δεν είναι ακριβώς εύκολη, αλλά χρησιμοποιώντας τα σωστά εργαλεία, επιλέγοντας προσεκτικά τις επιχειρήσεις και τις υπηρεσίες που αποφασίζετε να «εμπιστευτείτε» και χρησιμοποιώντας την κοινή λογική με τους κωδικούς πρόσβασής σας είναι πολύ καλή αρχή.