Securitate

Expert în securitate Bruce Schneier privind parolele, confidențialitatea și încrederea

Expert în securitate Bruce Schneier privind parolele, confidențialitatea și încrederea / Securitate

În lumea interconectată de astăzi, tot ce este nevoie este o greșeală de securitate pentru a face ca toată lumea să se prăbușească. Cui mai bine să te întorci pentru consiliere decât expertul în securitate Bruce Schneier?

Dacă aveți vreun interes trecător în materie de securitate Red Alert: 10 bloguri de securitate pe computer pe care ar trebui să le urmați astăzi Red Alert: 10 bloguri de securitate pe computer pe care ar trebui să le urmați Astăzi securitatea este o componentă crucială a computerelor și ar trebui să vă străduiți să vă educați . Veți dori să verificați aceste zece bloguri de securitate și experții în securitate care le scriu. Citiți mai multe, atunci ați găsit cu siguranță scrierile lui Bruce Schneier, un guru de securitate de renume mondial, care a servit în numeroase comitete guvernamentale, a depus mărturie în fața Congresului și este autorul a 12 cărți pe probleme de securitate până acum nenumărate eseuri și lucrări academice.

După ce au auzit despre cea mai nouă carte a lui Schneier, Carry On: Sunete de la Schneier privind securitatea, am decis că a venit timpul să ajungem la Bruce pentru a obține niște sfaturi sănătoase cu privire la unele dintre problemele noastre majore de confidențialitate și securitate.

Bruce Schneier - Sfat pentru sunet

Într-o lume globală plină de spionaj digital internațional, amenințări malware și viruși și hackeri anonimi în jurul fiecărui colț - poate fi un loc foarte înfricoșător pentru navigarea oricui.

Nu ne temem - pentru că l-am rugat pe Bruce să ne ofere câteva sfaturi despre unele dintre cele mai presante probleme de securitate 5 Lucrurile pe care le-am învățat despre securitatea online în 2013 5 Lucrurile pe care le-am învățat despre securitatea online în 2013 Amenințările au devenit mai complexe și, mai rău, acum venind din locuri pe care majoritatea nu le-ar aștepta niciodată - cum ar fi guvernul. Iată 5 lecții dure pe care le-am învățat despre securitatea online în 2013. Citiți mai multe astăzi. După ce ați citit acest interviu, cel puțin veți pleca cu o mai mare cunoaștere a ceea ce amenințările sunt într-adevăr și ce puteți face cu adevărat pentru a vă proteja.

Înțelegerea Teatrului de Securitate

Muo: În calitate de consumator, cum pot să disting “teatru de securitate” de la o aplicație sau serviciu cu adevărat sigure? (Termenul “teatru de securitate” a fost aleasă din termenul pe care l-ați inventat în scrierile anterioare despre cum aplicațiile și serviciile pretind securitatea ca punct de vânzare).

Bruce: Nu poți. În societatea noastră specializată și tehnologică, nu poți spune bine de produse și servicii proaste în multe domenii. Nu poți spune o aeronavă solidă din punct de vedere structural, de la una nesigură. Nu poți spune unui inginer bun de la un șarlatan. Nu puteți spune un produs farmaceutic bun din ulei de șarpe. În regulă, totuși. În societatea noastră, avem încredere în alții pentru a face acele determinări pentru noi. Avem încredere în programele guvernamentale de licențiere și certificare. Avem încredere în revizuirea organizațiilor precum Uniunea consumatorilor. Avem încredere în recomandările prietenilor și colegilor noștri. Avem încredere în experți Stay Safe Online: Urmați 10 experți în securitatea calculatoarelor pe Twitter Stay Safe Online: Urmați 10 experți în securitatea calculatorului pe Twitter Există pași simpli pe care îi puteți lua pentru a vă proteja online. Folosind un firewall și un software antivirus, creând parole securizate, fără a lăsa dispozitivele dvs. nesupravegheate; acestea sunt toate must-uri absolute. Dincolo de asta, coboară ... Citește mai mult .

Securitatea nu este diferită. Pentru că nu putem spune că o aplicație sau un serviciu IT sigur de la una nesigură, trebuie să ne bazăm pe alte semnale. Desigur, securitatea IT este atât de complicată și se mișcă repede, încât acele semnale ne răsplătesc în mod obișnuit. Dar asta e teoria. Noi decidem în cine avem încredere și apoi acceptăm consecințele acestei încredere.

Trucul este de a crea mecanisme bune de încredere.

DIY Audituri de securitate?

Muo: Ce este a “codul de audit” sau a “auditul de securitate” și cum funcționează? Crypto.cat a fost open-source, ceea ce a făcut ca unii oameni să se simtă în siguranță, dar sa dovedit că nimeni nu a auditat-o. Cum pot găsi aceste audituri? Există modalități prin care să pot controla utilizarea de zi cu zi a instrumentelor, pentru a fi siguri că folosesc lucruri care mă protejează cu adevărat?

Bruce: Un audit înseamnă ceea ce credeți că înseamnă: altcineva sa uitat la el și a pronunțat-o bine. (Sau, cel puțin, a găsit părțile rele și a spus cuiva să le repare.)

Următoarele întrebări sunt, de asemenea, evidente: cine a auditat-o, cât de mare a fost auditul și de ce ar trebui să aveți încredere în ele? Dacă ați avut vreodată o inspecție la domiciliu când ați cumpărat o casă, înțelegeți problemele. În software, auditurile de securitate bune sunt complete și scumpe și - în final - nu există nicio garanție că software-ul este sigur.

Auditurile pot găsi numai probleme; ei nu pot niciodată să dovedească lipsa de probleme. Puteți să vă controlați cu siguranță propriile instrumente software, presupunând că aveți cunoștințele și experiența necesare, accesul la codul software și timpul. Este ca și cum ai fi doctorul sau avocatul tău. Dar nu-l recomand.

Doar zburați sub radar?

Muo: Există, de asemenea, această idee că, dacă utilizați servicii sau măsuri de precauție extrem de sigure, sunteți într-un fel suspect. Dacă această idee are merit, ar trebui să ne concentrăm mai puțin pe servicii mai sigure și, în schimb, să încercăm să zboară sub radar? Cum am face asta? Ce fel de comportament este considerat suspect, adică ceea ce vă face un raport minoritar? Care e cea mai bună tactică pentru “răsturna”?

Bruce: Problema cu ideea de a zbura sub radar sau de a scăpa, este că se bazează pe noțiuni de calculator în legătură cu dificultatea de a observa pe cineva. Când oamenii făceau vizionarea, avea sens să nu le atragă atenția.

Dar computerele sunt diferite. Ele nu sunt limitate de noțiunile umane de atenție; ei pot viziona toată lumea în același timp. Deci, deși este adevărat că utilizarea cripțiunii este ceva pe care ANS ia notă specială, nu o folosește nu înseamnă că vei fi observat mai puțin. Cea mai bună apărare este utilizarea serviciilor sigure, chiar dacă ar putea fi un steag roșu. Gândiți-vă în acest fel: oferiți acoperire pentru cei care au nevoie de criptare pentru a rămâne în viață.

Confidențialitate și criptografie

Muo: Vint Cerf a spus că viața privată este o anomalie modernă și că nu avem o așteptare rezonabilă pentru viața privată în viitor. esti de acord cu asta? Este intimitatea o iluzie / anomalie moderna?

Bruce: Desigur că nu. Confidențialitatea este o nevoie umană fundamentală și ceva foarte real. Vom avea nevoie de intimitate în societățile noastre atâta timp cât sunt alcătuite din oameni.

Muo: Voi spuneți că noi, ca o societate, am devenit multumiți de criptarea datelor?

Bruce: Desigur, noi, ca designeri și constructori de servicii IT, am devenit multumiți de criptografie și de securitatea datelor în general. Am construit un Internet care este vulnerabil la supravegherea în masă, nu doar de către ANS, ci de către orice altă organizație națională de informații de pe planetă, de corporații mari și de infractori cibernetici. Am făcut acest lucru dintr-o varietate de motive, variind de la “este mai ușor în acest fel” la “ne place sa primim lucruri gratuit pe Internet.” Dar începem să realizăm că prețul pe care îl plătim este de fapt destul de ridicat, așa că, sperăm, vom face un efort pentru a schimba lucrurile.

Îmbunătățirea securității și confidențialității

Muo: Ce formă / combinație de parole / autorizare considerați cea mai sigură? Ce “cele mai bune practici” ați recomanda crearea unei parole alfanumerice?

Bruce: Am scris recent despre asta. Detaliile merită citite.

Nota autorului: Articolul legat în cele din urmă descrie “Schneier Scheme” care funcționează pentru alegerea parolelor securizate 7 moduri de a face parole care sunt atât de siguranță și memorabile 7 moduri de a face parole care sunt atât de siguranță și memorabile Având o parolă diferită pentru fiecare serviciu este o necesitate în lumea online de astăzi, dar există o slăbiciune teribil la parole generate aleatoriu: este imposibil să le amintiți tuturor. Dar cum vă puteți aminti ... Citește mai mult, citat de fapt din propriul său articol din 2008 privind acest subiect.

“Sfatul meu este să luați o propoziție și să o transformați într-o parolă. Ceva de genul "Puiul ăsta a intrat pe piață" ar putea deveni "tlpWENT2m". Această parolă de nouă caractere nu va fi în dicționarul nimănui. Desigur, nu-l folosiți pe acesta, pentru că am scris despre asta. Alege propria propoziție - ceva personal.”

Muo: Cum poate cel mai bun utilizator mediu să se ocupe de știrea că contul său la un site web, o bancă sau o companie multinațională de renume mondial a fost compromis (vorbesc despre încălcarea datelor de tipul Adobe / LinkedIn aici, mai degrabă decât o singură bancă contul care a fost încălcat prin frauda cu card)? Ar trebui să-și mute afacerea? Ce credeți că va lua pentru a sublinia departamentelor de securitate IT / date că dezvăluirea imediată, completă, este cea mai bună PR?

Bruce: Acest lucru ne readuce la prima întrebare. Nu prea avem cum putem face clienții cu privire la securitatea datelor noastre atunci când este în mâinile altor organizații. Pur și simplu trebuie să avem încredere că vor asigura datele noastre. Iar atunci când nu - atunci când există o încălcare majoră a securității - singurul nostru răspuns posibil este să ne mutăm datele în altă parte.

Dar 1) nu știm cine este mai sigur și 2) nu avem nicio garanție că datele noastre vor fi șterse când ne mișcăm. Singura soluție reală este reglementarea. Ca și în multe domenii în care nu avem experiența necesară pentru a evalua și trebuie să avem încredere, ne așteptăm ca guvernul să intervină și să ofere un proces demn de încredere pe care ne putem baza.

În domeniul IT, va fi necesară o legislație care să asigure că societățile ne asigură datele în mod adecvat și ne informează atunci când există încălcări ale securității.

Concluzie

Este de la sine înțeles că a fost o onoare să stați și să discutați (cu aproape) aceste probleme cu Bruce Schneier. Dacă căutați o mai bună înțelegere de la Bruce, asigurați-vă că ați verificat ultima sa carte, Carry On, care promite că Bruce va lua astăzi probleme de securitate importante, cum ar fi bombardarea maratonului de la Boston, supravegherea NSA și atacurile cibernetice chinezești. Puteți obține, de asemenea, doze regulate de cunoaștere a lui Bruce la blogul său.

După cum puteți spune din răspunsurile de mai sus, rămânerea sigură într-o lume nesigură nu este exactă, ci prin utilizarea instrumentelor potrivite, alegeți cu atenție ce întreprinderi și servicii decideți “încredere”, și folosirea bunului simț cu parolele dvs. este un început foarte bun.

Explorați mai multe despre: Securitate online, Parolă.