Owen Little
0 
4925
942
U današnjem međusobno povezanom svijetu sve što je potrebno jest jedna sigurnosna greška da se cijeli vaš svijet sruši. Kome je bolje obratiti se za savjet nego stručnjaku za sigurnost Bruceu Schneieru?
Ako vas čak zanima zanimanje za sigurnost Crveno upozorenje: 10 blogova o računalnoj sigurnosti koju biste trebali slijediti danas Crvena upozorenja: 10 blogova o računalnoj sigurnosti koju biste trebali slijediti danas Sigurnost je presudan dio računarstva i trebali biste se truditi školovati se i ostati aktualni , Morat ćete provjeriti tih deset blogova o sigurnosti i sigurnosne stručnjake koji ih pišu. , onda ste sigurno naišli na zapise Brucea Schneiera, svjetski poznatog gurua za sigurnost koji je služio u brojnim vladinim odborima, svjedočio pred Kongresom i autor je 12 knjiga o sigurnosnim pitanjima do sada, kao i bezbroj eseja i akademskih radova.
Nakon što je čuo za Schneierovu najnoviju knjigu, Pridržavajte se: Zvučni savjeti tvrtke Schneier o sigurnosti, odlučili smo da je vrijeme da se obratimo Bruceu da dobijemo neke zdrave savjete koji se tiču nekih naših gorućih briga o privatnosti i sigurnosti.
Bruce Schneier - zvučni savjeti
U globalnom svijetu ispunjenom međunarodnom digitalnom špijunažom, zlonamjernim softverom i prijetnjama virusima i anonimnim hakerima iza svakog ugla - može biti vrlo zastrašujuće mjesto za bilo koga.
Ne bojte se - jer tražili smo od Brucea da nam pruži neke smjernice o nekim od najvažnijih sigurnosnih pitanja. 5 Stvari koje smo naučili o mrežnoj sigurnosti u 2013. godini 5 Stvari koje smo naučili o sigurnosti u 2013. godini Prijetnje su postale složenije i, još gore, jesu sada dolaze iz mjesta koja većina nikad ne bi očekivala - poput vlade. Evo 5 teških lekcija koje smo danas naučili o mrežnoj sigurnosti. Nakon čitanja ovog intervjua, barem ćete se udaljiti s većom sviješću o tome što su prijetnje zapravo i što doista možete učiniti da biste se zaštitili.
Razumijevanje kazališta sigurnosti
MUO: Kao potrošača, kako se mogu razlikovati “kazalište sigurnosti” iz istinski sigurne aplikacije ili usluge? (Uvjet “kazalište sigurnosti” odabran je između izraza koji ste naveli u svojim prethodnim napisima o tome kako aplikacije i usluge tvrde sigurnost kao prodajno mjesto.)
Bruce: Ne možete. U našem specijaliziranom i tehnološkom društvu ne možete zaključiti dobro od loših proizvoda i usluga u mnogim područjima. Konstruktivno zvučni zrakoplov ne možete prepoznati od nesigurnog. Ne možete reći dobrom inženjeru iz šarlatana. Ne možete reći dobar farmaceutski proizvod od zmijskog ulja. To je u redu. U našem društvu vjerujemo drugima da to određivanje donose umjesto nas. Mi vjerujemo vladinim programima licenciranja i certifikacije. Vjerujemo da pregledavamo organizacije poput Potrošačke unije. Mi vjerujemo preporukama naših prijatelja i kolega. Vjerujemo stručnjacima. Budite sigurni na mreži: Slijedite 10 stručnjaka za računalnu sigurnost na Twitteru Budite sigurni na mreži: Slijedite 10 stručnjaka za računalnu sigurnost na Twitteru Postoje jednostavni koraci koje možete poduzeti kako biste se zaštitili na mreži. Korištenje vatrozida i antivirusnog softvera, stvaranje sigurnih lozinki, ne ostavljajući uređaje bez nadzora; sve su to apsolutni mošti. Mimo toga se svodi ... .
Sigurnost se ne razlikuje. Budući da sigurnoj aplikaciji ili IT usluzi ne možemo reći sigurnom, moramo se osloniti na druge signale. Naravno, informatička sigurnost je toliko komplicirana i brza da nas ti signali rutinski iznevjere. Ali to je teorija. Mi odlučujemo kome vjerujemo i onda prihvaćamo posljedice tog povjerenja.
Trik je stvoriti dobre mehanizme povjerenja.
Napravite reviziju sigurnosti?
MUO: Što je a “revizija koda” ili a “revizija sigurnosti” i kako to radi? Crypto.cat je bio otvorenog koda, zbog čega su neki ljudi osjećali da je siguran, ali ispostavilo se da ga nitko nije revidirao. Kako mogu pronaći ove revizije? Postoje li načini na koje bih mogao svakodnevno revidirati svoje korištenje alata kako bih bio siguran da koristim stvari koje me stvarno štite?
Bruce: Revizija znači ono što vi mislite da to znači: netko drugi je pogledao i dobro je proglasio. (Ili su barem pronašli loše dijelove i rekli nekome da ih popravi.)
Sljedeća su pitanja također očita: tko je to vršio reviziju, koliko je opsežna bila revizija i zašto biste im trebali vjerovati? Ako ste ikad imali kućni pregled prilikom kupovine kuće, razumjeli ste probleme. U softveru su dobre sigurnosne revizije sveobuhvatne i skupe i - na kraju - ne jamče da je softver siguran.
Revizija može pronaći samo probleme; nikada ne mogu dokazati izostanak problema. Definitivno možete pregledati vlastite softverske alate, pod pretpostavkom da imate potrebno znanje i iskustvo, pristup softverskom kodu i vremenu. To je jednostavno kao vlastiti liječnik ili odvjetnik. Ali ne preporučujem.
Samo letite ispod radara?
MUO: Postoji i ideja da ako koristite tako sigurne usluge ili mjere predostrožnosti nekako djelujete sumnjivo. Ako je ta ideja zasluga, trebamo li se manje usredotočiti na sigurnije usluge i umjesto toga pokušati letjeti ispod radara? Kako bismo to učinili? Kakvo se ponašanje smatra sumnjivim, tj. O čemu dobivate izvještaj o manjini? Koja je najbolja taktika “skrivati se”?
Bruce: Problem s pojmom letenja ispod radara ili laganja niskog leži u tome što se temelji na predkompjuterskim predodžbama o poteškoćama u opažanju nekoga. Kad su ljudi gledali ljude, imalo je smisla ne privlačiti njihovu pažnju.
Ali računala su različita. Oni nisu ograničeni ljudskim predodžbama pažnje; mogu ih gledati svi istovremeno. Iako je možda istina da je uporaba šifriranja nešto što NSA uzima u obzir, a to što ne koristite, ne znači da ćete biti primijećeni manje. Najbolja obrana je korištenje sigurnih usluga, čak i ako to može biti crvena zastava. Razmislite na ovaj način: pružate pokrov onima koji trebaju šifriranje da bi ostali živi.
Privatnost i kriptografija
MUO: Vint Cerf rekao je da je privatnost moderna anomalija i da u budućnosti nemamo razumnih očekivanja za privatnost. Slažete li se s tim? Je li privatnost moderna iluzija / anomalija?
Bruce: Naravno da ne. Privatnost je temeljna ljudska potreba i nešto što je vrlo stvarno. Trebat će nam privatnost u našim društvima sve dok ih čine ljudi.
MUO: Biste li rekli da smo se mi kao društvo ponadali što se tiče kriptografije podataka?
Bruce: Sigurno smo kao projektanti i graditelji IT usluga postali žalosni na kriptografiju i sigurnost podataka općenito. Izgradili smo Internet koji je podložan masovnom nadzoru, ne samo od strane NSA-e, nego i od strane svake druge nacionalne obavještajne organizacije na planeti, velikih korporacija i cyber-kriminalaca. To smo radili iz više razloga, u rasponu od “lakše je na taj način” do “volimo da stvari dobijamo besplatno na Internetu.” Ali počinjemo shvaćati da je cijena koju plaćamo zapravo prilično visoka, pa se nadamo da ćemo se potruditi promijeniti stvari.
Poboljšanje vaše sigurnosti i privatnosti
MUO: Koji oblik / kombinaciju lozinki / autorizacije smatrate najsigurnijim? Što “najbolje prakse” biste li preporučili za stvaranje alfanumeričke lozinke?
Bruce: O tome sam pisao nedavno. Pojedinosti vrijedi pročitati.
Napomena autora: Povezani članak na kraju opisuje “Schneierova shema” to funkcionira za odabir sigurnih lozinki. 7 načina stvaranja sigurnih i nezaboravnih lozinki nasumično generirane lozinke: nemoguće ih je zapamtiti sve. Ali kako se uopće sjećate ..., citiranog iz vlastitog članka iz 2008. o ovoj temi.
“Moj savjet je uzeti rečenicu i pretvoriti je u lozinku. Nešto poput "Ova mala svinja otišla je na tržište" moglo bi postati "tlpWENT2m". Ta lozinka s devet znakova neće biti u ničijem rječniku. Naravno, nemojte koristiti ovaj, jer sam pisao o tome. Odaberite svoju rečenicu - nešto osobno.”
MUO: Kako se prosječni korisnik može najbolje nositi s vijestima da je njihov račun na svjetski poznatoj web stranici, banci ili multinacionalnoj tvrtki ugrožen (ovdje govorim o kršenju podataka vrste Adobe / LinkedIn, a ne o jednoj banci račun prekršen putem prijevara na kartici)? Treba li preseliti posao? Što mislite, kako će trebati podvući odjel za sigurnost IT / podataka da je trenutno, potpuno otkrivanje, najbolji PR?
Bruce: To nas vraća na prvo pitanje. Kao kupci ne možemo puno učiniti u pogledu sigurnosti naših podataka kada su u rukama drugih organizacija. Jednostavno moramo vjerovati da će osigurati naše podatke. A kad to ne učine - kad postoji veliko sigurnosno kršenje - naš jedini mogući odgovor je premještanje naših podataka negdje drugdje.
Ali 1) ne znamo tko je sigurniji i 2) nemamo garanciju da će se naši podaci izbrisati kad se krećemo. Jedino pravo rješenje ovdje je regulacija. Kao i mnoga područja u kojima nemamo stručnost za procjenu, a od nas se traži povjerenje, očekujemo da će vlada istupiti i pružiti proces pouzdan na koji se možemo osloniti.
U IT će usvojiti zakonodavstvo koje će osigurati da tvrtke adekvatno osiguravaju naše podatke i obavijestiti nas kada postoje kršenja sigurnosti.
Zaključak
Nepotrebno je reći da je bila čast sjediti i (virtualno) razgovarati o tim pitanjima s Bruceom Schneierom. Ako tražite još više uvida u Brucea, svakako provjerite njegovu najnoviju knjigu Carry On, koja obećava da će Bruce danas poduzeti važna sigurnosna pitanja poput bombardiranja Bostonskog maratona, nadzora NSA i kineskih cyber napada. Redovne doze Bruceova uvida također možete dobiti na njegovom blogu.
Kao što možete shvatiti iz gornjih odgovora, ostati siguran u nesigurnom svijetu nije baš jednostavno, ali koristeći prave alate, pažljivo birajte za što se tvrtke i usluge odlučite “povjerenje”, i korištenje zdravog razuma s vašim zaporkama vrlo je dobar početak.