Gabriel Brooks
0 
2744
621
В сегодняшнем взаимосвязанном мире все, что нужно, - это одна ошибка безопасности, которая заставит весь ваш мир рухнуть. К кому лучше обратиться за советом, чем к эксперту по безопасности Брюсу Шнайеру?
Если у вас есть даже мимолетный интерес к вопросам безопасности, Red Alert: 10 блогов по компьютерной безопасности, которым вы должны следовать сегодня Red Alert: 10 блогов по компьютерной безопасности, которым вы должны следовать сегодня Безопасность - это важная часть вычислений, и вы должны стремиться к самообразованию и быть в курсе событий , Вы захотите проверить эти десять блогов по безопасности и экспертов по безопасности, которые их пишут. тогда вы наверняка встретите труды Брюса Шнайера, всемирно известного гуру безопасности, который работал в многочисленных правительственных комитетах, давал показания перед Конгрессом и является автором 12 книг по вопросам безопасности, а также бесчисленных эссе. и научные статьи.
Услышав о новейшей книге Шнайера, Продолжайте: звуковой совет от Шнайера по безопасности, мы решили, что пришло время обратиться к Брюсу, чтобы получить здравый совет относительно некоторых наших насущных проблем в области конфиденциальности и безопасности.
Брюс Шнайер - Звуковой Совет
В глобальном мире, наполненном международным цифровым шпионажем, вредоносными программами и вирусными угрозами, а также анонимными хакерами на каждом углу - это может быть очень страшным местом для любого пользователя.
Не бойтесь - потому что мы попросили Брюса дать нам некоторые рекомендации по некоторым наиболее актуальным вопросам безопасности. 5 Что мы узнали о сетевой безопасности в 2013 году 5 Что мы узнали о онлайн-безопасности в 2013 году Угрозы стали более сложными и, что еще хуже, теперь из тех мест, которые большинство никогда бы не ожидали - например, правительство. Вот 5 тяжелых уроков, которые мы узнали об онлайн-безопасности в 2013 году. Сегодня. Прочитав это интервью, вы по крайней мере уйдете с большим пониманием того, что на самом деле представляют собой угрозы, и что вы действительно можете сделать, чтобы защитить себя.
Понимание Театра Безопасности
MUO: Как потребитель, как я могу отличить “театр безопасности” из действительно безопасного приложения или службы? (Семестр “театр безопасности” был выбран из термина, который вы придумали в своих прошлых работах о том, как приложения и сервисы заявляют о безопасности как о точке продаж.)
Брюс: Ты не можешь В нашем специализированном и технологичном обществе вы не можете отличить плохие продукты и услуги во многих областях. Вы не можете отличить конструктивно надежный самолет от небезопасного. Вы не можете отличить хорошего инженера от шарлатана. Вы не можете отличить хороший фармацевтический продукт от змеиного масла. Это нормально, хотя. В нашем обществе мы доверяем другим, чтобы сделать эти определения для нас. Мы доверяем государственным программам лицензирования и сертификации. Мы доверяем проверяющим организациям, таким как Союз потребителей. Мы доверяем рекомендациям наших друзей и коллег. Мы доверяем экспертам Оставайтесь в безопасности в сети: следите за 10 экспертами по компьютерной безопасности в Twitter Оставайтесь в безопасности в Интернете: следите за 10 экспертами по компьютерной безопасности в Твиттере Есть несколько простых шагов, которые можно предпринять, чтобы защитить себя в Интернете. Использование брандмауэра и антивирусного программного обеспечения, создание безопасных паролей, не оставляя ваши устройства без присмотра; это все абсолютные потребности. Помимо этого это сводится ... .
Безопасность ничем не отличается. Поскольку мы не можем отличить безопасное приложение или ИТ-службу от небезопасного, мы должны полагаться на другие сигналы. Конечно, ИТ-безопасность настолько сложна и быстро развивается, что эти сигналы обычно подводят нас. Но это теория. Мы решаем, кому мы доверяем, и затем мы принимаем последствия этого доверия.
Хитрость заключается в том, чтобы создать хорошие механизмы доверия.
Сделай сам Аудит безопасности?
MUO: Что такое “аудит кода” или “аудит безопасности” и как это работает? Crypto.cat был с открытым исходным кодом, что заставляло некоторых людей чувствовать, что это безопасно, но оказалось, что никто не проверял это. Как я могу найти эти проверки? Есть ли способы, которыми я мог бы проверять свое собственное ежедневное использование инструментов, чтобы убедиться, что я использую вещи, которые действительно защищают меня?
Брюс: Аудит означает то, что вы думаете, что это означает: кто-то еще посмотрел на это и сказал, что это хорошо. (Или, по крайней мере, нашел плохие детали и сказал кому-то их починить.)
Следующие вопросы также очевидны: кто его проверял, насколько обширным был аудит, и почему вы должны им доверять? Если вы когда-либо проходили домашний осмотр, когда покупали дом, вы понимаете проблемы. В программном обеспечении хороший аудит безопасности является всеобъемлющим и дорогостоящим и, в конце концов, не гарантирует, что программное обеспечение является безопасным..
Аудит может только найти проблемы; они никогда не смогут доказать отсутствие проблем. Вы определенно можете проверить свои собственные программные средства, если у вас есть необходимые знания и опыт, доступ к программному коду и время. Это все равно что быть твоим собственным врачом или адвокатом. Но я не рекомендую это.
Просто лети под радаром?
MUO: Существует также идея, что если вы используете такие высокозащищенные услуги или меры предосторожности, вы ведете себя подозрительно. Если у этой идеи есть свои достоинства, следует ли нам меньше концентрироваться на более безопасных услугах и вместо этого пытаться скрыться от радаров? Как бы мы это сделали? Какое поведение считается подозрительным, т. Е. Что дает вам отчет меньшинства? Какая лучшая тактика для “лежать низко”?
Брюс: Проблема с понятием полета под радаром, или лежа на низком уровне, состоит в том, что оно основано на предкомпьютерных представлениях о трудностях, связанных с наблюдением кого-либо. Когда люди занимались наблюдением, имело смысл не привлекать их внимание.
Но компьютеры разные. Они не ограничены человеческими представлениями о внимании; они могут смотреть всех одновременно. Поэтому, хотя это может быть правдой, что использование шифрования - это то, на что АНБ обращает особое внимание, но если вы его не используете, это не значит, что вас заметят меньше. Лучшая защита - использовать безопасные сервисы, даже если это может быть красный флаг. Подумайте об этом так: вы предоставляете прикрытие для тех, кто нуждается в шифровании, чтобы остаться в живых.
Конфиденциальность и криптография
MUO: Винт Серф сказал, что неприкосновенность частной жизни - это современная аномалия, и у нас нет разумных ожиданий в отношении конфиденциальности в будущем. ты согласен с этим? Является ли конфиденциальность современной иллюзией / аномалией?
Брюс: Конечно, нет. Конфиденциальность - это фундаментальная человеческая потребность, и это очень реально. Мы будем нуждаться в конфиденциальности в наших обществах, если они состоят из людей.
MUO: Вы бы сказали, что мы, как общество, стали самодовольными в отношении криптографии данных??
Брюс: Конечно, мы, как дизайнеры и разработчики ИТ-услуг, стали довольны криптографией и безопасностью данных в целом. Мы создали Интернет, который уязвим для массового наблюдения, причем не только со стороны АНБ, но и любой другой национальной разведывательной организации на планете, крупных корпораций и киберпреступников. Мы сделали это по разным причинам, начиная от “так легче” в “нам нравится получать вещи бесплатно в интернете.” Но мы начинаем понимать, что цена, которую мы платим, на самом деле довольно высока, поэтому, надеюсь, мы приложим усилия, чтобы изменить положение вещей..
Улучшение вашей безопасности и конфиденциальности
MUO: Какую форму / комбинацию паролей / авторизации вы считаете наиболее безопасной? Какие “лучшие практики” Вы бы порекомендовали для создания буквенно-цифрового пароля?
Брюс: Я писал об этом недавно. Подробности стоит прочитать.
Примечание автора: Связанная статья в конце концов описывает “Схема Шнайера” который работает для выбора надежных паролей 7 способов создать безопасные и запоминающиеся пароли 7 способов создать безопасные и запоминающиеся пароли Наличие разного пароля для каждой службы является обязательным в современном онлайн-мире, но есть ужасная слабость к случайно сгенерированным паролям: невозможно запомнить их все. Но как вы можете помнить ..., на самом деле цитируется из его собственной статьи 2008 года на эту тему.
“Мой совет - взять предложение и превратить его в пароль. Что-то вроде «Этот маленький поросенок вышел на рынок» может стать «tlpWENT2m». Этот девятисимвольный пароль не будет ни у кого в словаре. Конечно, не используйте этот, потому что я написал об этом. Выберите свое собственное предложение, что-то личное.”
MUO: Как среднестатистический пользователь может лучше всего справиться / справиться с новостями о том, что его учетная запись на всемирно известном веб-сайте, в банке или в транснациональной компании была взломана (здесь речь идет о взломе данных типа Adobe / LinkedIn, а не об отдельном банке). аккаунт взломан путем мошенничества с картой)? Должны ли они перенести свой бизнес? Как вы думаете, что нужно сделать, чтобы подчеркнуть, что отделы ИТ / безопасности данных считают, что немедленное, полное раскрытие информации - лучший PR??
Брюс: Это возвращает нас к первому вопросу. Мы, клиенты, мало что можем сделать с безопасностью наших данных, когда они находятся в руках других организаций. Мы просто должны верить, что они собираются защитить наши данные. И когда они этого не делают - когда происходит серьезное нарушение безопасности - наш единственный возможный ответ - переместить наши данные в другое место.
Но 1) мы не знаем, кто более защищен, и 2) у нас нет гарантии, что наши данные будут стерты, когда мы переедем. Единственное реальное решение здесь - это регулирование. Как и во многих областях, в которых у нас нет опыта для оценки и мы должны доверять, мы ожидаем, что правительство вмешается и обеспечит надежный процесс, на который мы можем положиться.
В сфере ИТ потребуется законодательство, обеспечивающее адекватную защиту наших данных компаниями и информирующее нас о нарушениях безопасности..
Заключение
Само собой разумеется, что для меня было честью сидеть и (практически) обсуждать эти вопросы с Брюсом Шнайером. Если вы ищете еще более глубокое понимание Брюса, непременно ознакомьтесь с его последней книгой «Продолжай», в которой обещается, что Брюс сегодня рассмотрит такие важные вопросы безопасности, как бомбардировка Бостонского марафона, наблюдение за АНБ и кибератаки в Китае. Вы также можете получать регулярные дозы информации Брюса в его блоге..
Как видно из приведенных выше ответов, оставаться в безопасности в небезопасном мире непросто, но используя правильные инструменты, тщательно выбирая, какие компании и услуги вы решите выбрать. “доверять”, и использование здравого смысла с вашими паролями - очень хорошее начало.