Expert na bezpečnosť Bruce Schneier v oblasti hesiel, ochrany osobných údajov a dôvery

Reklama

V dnešnom vzájomne prepojenom svete stačí jedna bezpečnostná chyba, ktorá spôsobí zrútenie celého sveta. Na koho sa radšej obrátiť s prosbou ako s odborníkom na bezpečnosť Bruce Schneier?

Ak máte dokonca záujem o bezpečnostné záležitosti Red Alert: 10 blogov o počítačovej bezpečnosti, ktoré by ste mali sledovať dnesBezpečnosť je kľúčovou súčasťou výpočtovej techniky a mali by ste sa snažiť vzdelávať a zostať v aktuálnom stave. Budete chcieť vyskúšať týchto desať bezpečnostných blogov a odborníkov na bezpečnosť, ktorí ich píšu. Čítaj viac , potom ste určite narazili na spisy Brucea Schneiera, svetoznámeho bezpečnostného gurua, ktorý slúžil mnohým vládam výbory, dosvedčené pred kongresom, a je autorom doteraz 12 kníh o bezpečnostných otázkach, ako aj nespočetných esejí a akademických prác papiere.

Po vypočutí najnovšej knihy spoločnosti Schneier Pokračujte: Zvukové poradenstvo od spoločnosti Schneier v oblasti bezpečnosti, rozhodli sme sa, že je najvyšší čas osloviť spoločnosť Bruce, aby získala dobrú radu, pokiaľ ide o niektoré z našich naliehavých obáv týkajúcich sa ochrany súkromia a bezpečnosti.

Bruce Schneier - zvukové poradenstvo

V globálnom svete plnom medzinárodných digitálnych špionáží, škodlivých kódov a vírusov a anonymných hackerov z každého kúta - pre každého môže byť veľmi desivé miesto pre navigáciu.

Nemajte strach - požiadali sme Bruca, aby nám poskytol nejaké usmernenie k najnaliehavejším bezpečnostné otázky 5 vecí, ktoré sme sa dozvedeli o zabezpečení online v roku 2013Hrozby sa stali zložitejšími, a čo je horšie, teraz prichádzajú z miest, ktoré by väčšina nikdy neočakávala - ako je vláda. Tu je 5 tvrdých lekcií, ktoré sme sa dozvedeli o online bezpečnosti v roku 2013. Čítaj viac dnes. Po prečítaní tohto rozhovoru budete aspoň odchádzať s väčšou informovanosťou o tom, aké hrozby skutočne sú, a čo skutočne môžete urobiť, aby ste sa chránili.

Pochopenie bezpečnostného divadla

Muo: Ako môžem ako spotrebiteľa rozlíšiť „bezpečnostné divadlo“ od skutočne zabezpečenej aplikácie alebo služby? (Termín „bezpečnostné divadlo“ bol vybraný z termínu, ktorý ste si vytvorili vo svojich minulých spisoch o tom, ako aplikácie a služby požadujú bezpečnosť ako miesto predaja.)

Bruce: Nemôžete. V našej špecializovanej a technologickej spoločnosti nemôžete povedať zlé výrobky a služby v mnohých oblastiach. Z nebezpečného lietadla nemôžete povedať štruktúrne zdravé lietadlo. Dobrého inžiniera nemôžete povedať od šarlatána. Nemôžete povedať dobrý farmaceutický produkt z hadího oleja. To je v poriadku. V našej spoločnosti veríme ostatným, že tieto rozhodnutia určia za nás. Dôverujeme vládnym licenčným a certifikačným programom. Dôverujeme kontrolujúcim organizáciám, ako je napríklad spotrebiteľská únia. Dôverujeme odporúčaniam našich priateľov a kolegov. my dôverovať expertom Zostaňte v bezpečí online: Sledujte 10 odborníkov na počítačovú bezpečnosť na TwitteriNa ochranu seba online môžete podniknúť jednoduché kroky. Používanie brány firewall a antivírusového softvéru, vytváranie bezpečných hesiel, nenechávanie zariadení bez dozoru; to všetko sú absolútne musty. Okrem toho zostupuje ... Čítaj viac .

Bezpečnosť sa nelíši. Pretože z nezabezpečenej nemôžeme povedať bezpečnú aplikáciu alebo službu IT, musíme sa spoliehať na iné signály. Bezpečnosť IT je samozrejme tak komplikovaná a rýchla, že nás tieto signály bežne zlyhávajú. Ale to je teória. Rozhodujeme sa, komu dôverujeme, a potom akceptujeme dôsledky tejto dôvery.

Trik spočíva v vytvorení dobrých mechanizmov dôvery.

DIY bezpečnostné audity?

Muo: Čo je „audit kódu“ alebo „bezpečnostný audit“ a ako to funguje? Crypto.cat bol open-source, vďaka čomu si niektorí ľudia mysleli, že je to bezpečné, ale ukázalo sa, že ho nikto neoveril. Ako nájdem tieto audity? Existujú spôsoby, ako by som mohol auditovať svoje každodenné používanie nástrojov, aby som sa ubezpečil, že používam veci, ktoré ma skutočne chránia?

Bruce: Audit znamená, čo si myslíte, že to znamená: niekto iný sa naň pozrel a vyhlásil ho za dobrý. (Alebo aspoň našiel zlé časti a povedal niekomu, aby ich opravil.)

Zrejmé sú aj ďalšie otázky: kto ho auditoval, aký rozsiahly bol audit a prečo by ste mu mali veriť? Ak ste pri kúpe domu niekedy absolvovali domácu inšpekciu, rozumiete problémom. V softvéri sú dobré bezpečnostné audity komplexné a nákladné a nakoniec nezaručujú, že softvér je bezpečný.

Audity môžu nájsť iba problémy; nikdy nemôžu dokázať absenciu problémov. Určite môžete auditovať svoje vlastné softvérové ​​nástroje za predpokladu, že máte potrebné znalosti a skúsenosti, prístup k softvérovému kódu a čas. Je to ako byť vašim vlastným lekárom alebo právnikom. Ale neodporúčam to.

Len lietate pod radarom?

Muo: Existuje aj táto myšlienka, že ak používate také vysoko zabezpečené služby alebo preventívne opatrenia, konáte podozrivo. Ak má táto myšlienka význam, mali by sme sa zamerať menej na bezpečnejšie služby a namiesto toho sa pokúsiť letieť pod radarom? Ako by sme to urobili? Aký druh správania sa považuje za podozrivý, t. Aká je najlepšia taktika „ľahnúť si“?

Bruce: Problém s predstavou lietania pod radarom alebo nízko položenej nízkej polohy spočíva v tom, že je založený na predstavách pred počítačom o probléme s niekým, kto si ich všimol. Keď ľudia sledovali, malo zmysel nepriťahovať ich pozornosť.

Počítače sa však líšia. Nie sú obmedzené ľudskými predstavami pozornosti; môžu sledovať všetkých súčasne. Aj keď môže byť pravda, že používanie šifrovania je osobitnou poznámkou NSA, neznamená to, že si všimnete menej. Najlepšou obranou je použitie bezpečných služieb, aj keď by to mohla byť červená vlajka. Premýšľajte o tom týmto spôsobom: poskytujete krytie pre tých, ktorí potrebujú šifrovanie, aby zostali nažive.

Ochrana osobných údajov a kryptografia

Muo: Vint Cerf uviedla, že súkromie je moderná anomálie a že v budúcnosti nemáme rozumné očakávania týkajúce sa súkromia. Súhlasíte s tým? Je súkromie modernou ilúziou / anomáliou?

Bruce: Samozrejme, že nie. Súkromie je základnou ľudskou potreboua niečo, čo je veľmi skutočné. Budeme potrebovať súkromie v našich spoločnostiach, pokiaľ budú tvorené ľuďmi.

Muo: Povedali by ste, že my ako spoločnosť sme sa sťažovali na kryptografiu údajov?

Bruce: My, ako dizajnéri a stavitelia IT služieb, sme si iste sťažovali kryptografiu a bezpečnosť dát všeobecne. Postavili sme internet, ktorý je náchylný na hromadné sledovanie, a to nielen zo strany NSA, ale aj zo všetkých ostatných národných spravodajských organizácií na planéte, veľkých spoločností a počítačoví zločinci. Urobili sme to z rôznych dôvodov, od „jednoduchšej cesty“ po „radi dostávame veci zadarmo na internete“. Ale začíname si uvedomovať, že cena, ktorú platíme, je skutočne dosť vysoká, takže sa snáď budeme snažiť veci zmeniť.

Zlepšenie bezpečnosti a ochrany osobných údajov

Muo: Akú formu / kombináciu hesiel / oprávnení považujete za najbezpečnejšiu? Aké „osvedčené postupy“ by ste odporučili na vytvorenie alfanumerického hesla?

Bruce: Nedávno som o tom písal. Podrobnosti sú stojí za prečítanie.

Poznámka autora: V prepojenom článku sa nakoniec opisuje „Schneierova schéma“, ktorá pracuje výber bezpečných hesiel 13 spôsobov, ako vytvoriť heslá, ktoré sú bezpečné a nezabudnuteľnéChcete vedieť, ako vytvoriť bezpečné heslo? Tieto kreatívne nápady na heslá vám pomôžu vytvoriť silné a nezabudnuteľné heslá. Čítaj viac , v skutočnosti citovaný z vlastného článku z roku 2008 na túto tému.

„Moja rada je urobiť vetu a premeniť ju na heslo. Niečo ako „Toto malé prasiatko išlo na trh“ by sa mohlo stať „tlpWENT2m“. Toto deväťmiestne heslo nebude v nikom slovníku. Toto samozrejme nepoužívajte, pretože som o ňom písal. Vyberte si vlastnú vetu - niečo osobného. “

Muo: Ako sa môže priemerný užívateľ čo najlepšie vysporiadať so správami, ktoré má ich účet so svetoznámou webovou stránkou, bankou alebo nadnárodnou spoločnosťou bola narušená (hovorím tu o porušení údajov typu Adobe / LinkedIn, a nie o jedinom bankovom účte porušenom kartou podvod)? Mali by presťahovať svoje podnikanie? Čo si myslíte, že bude potrebné zdôrazniť oddeleniam IT / dátovej bezpečnosti, že okamžité a úplné zverejnenie je najlepšou PR?

Bruce: To nás privádza späť k prvej otázke. Čo sa týka bezpečnosti našich údajov, keď sú zákazníci v rukách iných organizácií, nie je toho veľa. Jednoducho musíme veriť, že zabezpečia naše údaje. A keď nie - keď dôjde k veľkému narušeniu bezpečnosti - naša jediná možná reakcia je presunúť naše údaje niekde inde.

Ale 1) nevieme, kto je bezpečnejší, a 2) nemáme žiadnu záruku, že naše údaje budú pri pohybe vymazané. Jediným skutočným riešením je regulácia. Rovnako ako v mnohých oblastiach, v ktorých nemáme odborné znalosti na vyhodnotenie a ktoré sú povinné dôverovať, očakávame, že vláda vstúpi a poskytne dôveryhodný proces, na ktorý sa môžeme spoľahnúť.

V oblasti IT bude právne predpisy zabezpečovať, aby spoločnosti primerane zabezpečili naše údaje a informovali nás, keď dôjde k narušeniu bezpečnosti.

záver

Je samozrejmé, že je pre mňa cťou zasadnúť a (prakticky) diskutovať o týchto otázkach s Bruceom Schneierom. Ak hľadáte ešte podrobnejšie informácie od Bruceho, určite skontrolujte jeho najnovšiu knihu, Vydrž, ktorá sľubuje, že Bruce sa dnes ujme dôležitých bezpečnostných otázok, ako je bombový útok v Bostone, dohľad NSA a počítačové útoky Číny. Môžete tiež získať pravidelné dávky informácií o Bruceovi jeho blog.

Ako viete z vyššie uvedených odpovedí, zostať v bezpečí v neistom svete nie je celkom ľahké, ale pomocou správnych nástrojov, starostlivo zvoliť, ktorým firmám a službám sa rozhodnete „dôverovať“ a používať zdravý rozum pomocou svojich hesiel, je veľmi dobré štart.