Michael Fisher
0 
3785
479
V dnešním propojeném světě stačí jedna bezpečnostní chyba, která způsobí zhroucení celého světa. Na koho se raději obrátit s žádostí o radu než odborník na bezpečnost Bruce Schneier?
Pokud máte dokonce zájem o bezpečnostní záležitosti, Red Alert: 10 blogy o počítačové bezpečnosti, které byste dnes měli dodržovat Red Alert: 10, blogy o počítačové bezpečnosti, které byste měli dnes sledovat, Bezpečnost je klíčovou součástí výpočetní techniky a měli byste se snažit vzdělávat sami a zůstat aktuální . Budete chtít vyzkoušet těchto deset bezpečnostních blogů a odborníky na bezpečnost, kteří je píšou. , pak jste určitě narazili na spisy Bruce Schneiera, světově proslulého gurua bezpečnosti, který sloužil v mnoha vládních výborech, svědčil před kongresem, a je dosud autorem 12 knih o bezpečnostních otázkách a nesčetných esejů a akademické práce.
Po vyslechnutí Schneierovy nejnovější knihy, Pokračujte: Zvukové poradenství od Schneier o bezpečnosti, rozhodli jsme se, že je na čase kontaktovat Bruce, aby získal nějaké zdravé rady ohledně některých našich naléhavých otázek ochrany soukromí a bezpečnosti.
Bruce Schneier - Zvukové poradenství
V globálním světě naplněném mezinárodními digitálními špionážemi, malwarovými a virovými hrozbami a anonymními hackery za každým rohem - pro každého může být velmi děsivým místem pro navigaci.
Nemějte strach - požádali jsme Bruce, aby nám poskytl nějaké pokyny k některým z nejnaléhavějších problémů s bezpečností 5 Věci, které jsme se dozvěděli o online bezpečnosti v roce 2013 5 Věci, které jsme se dozvěděli o online bezpečnosti v roce 2013 Hrozby se staly složitější, a co je horší, jsou nyní přicházejí z míst, která by většina neočekávala - jako je vláda. Zde je 5 tvrdých lekcí, které jsme se dozvěděli o online bezpečnosti v roce 2013. dnes. Po přečtení tohoto rozhovoru budete alespoň odcházet s větším povědomím o tom, jaké hrozby skutečně jsou, a co můžete skutečně udělat, abyste se chránili.
Porozumění bezpečnostnímu divadlu
MUO: Jak mohu jako spotřebitel rozlišit “bezpečnostní divadlo” od skutečně bezpečné aplikace nebo služby? (Termín “bezpečnostní divadlo” byl vybrán z termínu, který jste vytvořili ve svých minulých spisech o tom, jak aplikace a služby požadují zabezpečení jako prodejní místo.)
Bruce: Nemůžeš. V naší specializované a technologické společnosti nemůžete dobře poznat špatné produkty a služby v mnoha oblastech. Nemůžete rozeznat konstrukčně zdravé letadlo z nebezpečného letadla. Nemůžete říct dobrému inženýrovi od šarlatána. Nemůžete říct dobrý farmaceutický produkt z hadího oleje. To je v pořádku. V naší společnosti věříme ostatním, že pro nás tato rozhodnutí učiní. Důvěřujeme vládním licenčním a certifikačním programům. Věříme kontrolujícím organizacím, jako je Unie spotřebitelů. Věříme na doporučení našich přátel a kolegů. Věříme odborníkům Zůstaňte v bezpečí online: Postupujte podle 10 odborníků na počítačovou bezpečnost na Twitteru Zůstaňte v bezpečí online: Sledujte 10 odborníků na počítačovou bezpečnost na Twitteru Existují jednoduché kroky, které můžete podniknout, abyste se chránili online. Používání brány firewall a antivirového softwaru, vytváření zabezpečených hesel, nenechávání zařízení bez dozoru; to vše jsou absolutní mošty. Kromě toho klesá ... .
Bezpečnost se neliší. Protože nemůžeme bezpečnou aplikaci nebo IT službu rozeznat od nezabezpečené, musíme se spoléhat na jiné signály. Bezpečnost IT je samozřejmě tak komplikovaná a rychlá, že nás tyto signály běžně selhávají. Ale to je teorie. Rozhodujeme se, komu důvěřujeme, a pak přijímáme důsledky této důvěry.
Trik spočívá v vytvoření dobrých mechanismů důvěry.
DIY Bezpečnostní audity?
MUO: Co je to? “audit kódu” nebo a “bezpečnostní audit” a jak to funguje? Crypto.cat byl open-source, díky kterému někteří lidé cítili, že je to bezpečné, ale ukázalo se, že to nikdo neudělal. Jak najdu tyto audity? Existují způsoby, jak bych mohl auditovat své každodenní používání nástrojů, abych se ujistil, že používám věci, které mě opravdu chrání?
Bruce: Audit znamená, co si myslíte, že to znamená: někdo jiný se na to podíval a prohlásil to za dobré. (Nebo alespoň našel špatné části a řekl někomu, aby je napravil.)
Další otázky jsou také zřejmé: kdo audit provedl, jak rozsáhlý byl audit a proč byste jim měli věřit? Pokud jste někdy při koupi domu měli domácí prohlídku, rozumíte problémům. V softwaru jsou dobré bezpečnostní audity komplexní a drahé a - nakonec - nezaručují, že je software bezpečný.
Audity mohou najít pouze problémy; nikdy nemohou dokázat absenci problémů. Určitě můžete auditovat své vlastní softwarové nástroje za předpokladu, že máte potřebné znalosti a zkušenosti, přístup k softwarovému kódu a čas. Je to jako být vaším vlastním lékařem nebo právníkem. Ale nedoporučuji to.
Stačí létat pod radarem?
MUO: Existuje také tato myšlenka, že pokud používáte takové vysoce zabezpečené služby nebo preventivní opatření, jednáte podezřívavě. Pokud má tato myšlenka smysl, měli bychom se zaměřit méně na bezpečnější služby a místo toho se pokusit letět pod radarem? Jak bychom to udělali? Jaké chování je považováno za podezřelé, tj. Co vás přiměje k hlášení menšiny? K čemu je nejlepší taktika “ležel nízko”?
Bruce: Problém s pojmem létání pod radarem nebo s nízkým ležením spočívá v tom, že je založen na představách o předběžném počítači, že je obtížné někoho všimnout. Když lidé sledovali, měli smysl upoutat pozornost.
Ale počítače jsou jiné. Nejsou omezeni lidskými představami pozornosti; mohou sledovat všechny najednou. Takže i když může být pravda, že používání šifrování je věcí, na kterou NSA věnuje zvláštní pozornost, neznamená to, že byste si toho všimli méně. Nejlepší obranou je použití zabezpečených služeb, i když by to mohla být červená vlajka. Přemýšlejte o tom tímto způsobem: poskytujete krytí těm, kteří potřebují šifrování, aby zůstali naživu.
Soukromí a kryptografie
MUO: Vint Cerf uvedla, že soukromí je moderní anomálie a že v budoucnosti nemáme rozumné očekávání soukromí. Souhlasíte s tím? Je soukromí moderní iluze / anomálie?
Bruce: Samozřejmě že ne. Soukromí je základní lidská potřeba a něco, co je velmi skutečné. Budeme potřebovat soukromí v našich společnostech, pokud budou tvořeni lidmi.
MUO: Řekl byste, že my jako společnost jsme si stěžovali na kryptografii dat?
Bruce: Jako konstruktéři a stavitelé IT služeb jsme si jistě stěžovali na kryptografii a bezpečnost dat obecně. Postavili jsme internet, který je náchylný k hromadnému dohledu, a to nejen ze strany NSA, ale ze všech ostatních národních zpravodajských organizací na planetě, velkých korporací a počítačových zločinců. Udělali jsme to z různých důvodů, od “je to tak jednodušší” na “rádi dostáváme věci zdarma na internetu.” Ale začínáme si uvědomovat, že cena, kterou platíme, je ve skutečnosti velmi vysoká, takže doufáme, že se budeme snažit věci změnit.
Zlepšení bezpečnosti a ochrany osobních údajů
MUO: Jakou formu / kombinaci hesel / autorizace považujete za nejbezpečnější? Co “osvědčené postupy” doporučujeme pro vytvoření alfanumerického hesla?
Bruce: Nedávno jsem o tom napsal. Podrobnosti stojí za přečtení.
Poznámka autora: Propojený článek nakonec popisuje “Schneier Scheme” který funguje pro výběr bezpečných hesel 7 způsobů, jak vytvořit hesla, která jsou bezpečná a zapamatovatelná na náhodně vygenerovaná hesla: je nemožné si je všechny pamatovat. Jak si ale můžete vzpomenout ..., ve skutečnosti citováno z jeho vlastního článku z roku 2008 na toto téma.
“Moje rada je vzít větu a změnit ji na heslo. Něco jako „Toto malé prasátko šlo na trh“ by se mohlo stát „tlpWENT2m“. Toto devítimístné heslo nebude ve slovníku nikoho. Toto samozřejmě nepoužívejte, protože jsem o tom psal. Vyberte si vlastní větu - něco osobního.”
MUO: Jak může průměrný uživatel nejlépe vypořádat se zprávou, že jeho účet u světoznámého webu, banky nebo nadnárodní společnosti byl ohrožen (mluvím zde o porušení dat typu Adobe / LinkedIn, spíše než o jedné bance účet porušen podvodem s kartou)? Měli by přesunout své podnikání? Co si myslíte, že bude nutné zdůraznit oddělením IT / data security, že okamžité a úplné zveřejnění je nejlepší PR?
Bruce: To nás přivádí zpět k první otázce. O zabezpečení našich dat, když je to v rukou jiných organizací, nemůžeme dělat mnoho. Musíme prostě věřit, že si budou zabezpečovat naše data. A pokud ne - když dojde k velkému narušení bezpečnosti - naší jedinou možnou odpovědí je přesunout naše data někam jinam.
Ale 1) nevíme, kdo je bezpečnější, a 2) nemáme žádnou záruku, že naše data budou při pohybu smazána. Jediným skutečným řešením je zde regulace. Stejně jako v mnoha oblastech, kde nemáme odborné znalosti k vyhodnocení a jsou od nich vyžadovány důvěry, očekáváme, že vláda vstoupí a poskytne důvěryhodný proces, na který se můžeme spolehnout.
V oblasti IT bude legislativa zajišťovat, aby společnosti přiměřeně zabezpečily naše data a informovaly nás, když dojde k narušení bezpečnosti.
Závěr
Je samozřejmé, že je ctí sedět a (prakticky) diskutovat o těchto otázkách s Brucem Schneierem. Pokud hledáte ještě více informací od Bruce, v každém případě se podívejte na jeho nejnovější knihu Carry On, která slibuje Bruceovi převzít důležité bezpečnostní otázky, jako je bombový útok na Boston Marathon, dohled NSA a čínské kybernetické útoky. Na jeho blogu můžete také získat pravidelné dávky Bruceho vhledu.
Jak můžete zjistit z výše uvedených odpovědí, zůstat v bezpečí v nejistém světě není úplně snadné, ale pomocí správných nástrojů pečlivě vyberete, jaké firmy a služby se rozhodnete “důvěra”, a používání zdravého rozumu s vašimi hesly je velmi dobrý začátek.