Содержание
В сегодняшнем взаимосвязанном мире все, что нужно, — это одна ошибка безопасности, которая заставит весь ваш мир рухнуть. К кому лучше обратиться за советом, чем к эксперту по безопасности Брюсу Шнайеру?
Если у вас есть даже мимолетный интерес к вопросам безопасности
тогда вы наверняка встретите труды Брюса Шнайера, всемирно известного гуру безопасности, который работал в многочисленных правительственных комитетах, давал показания перед Конгрессом и до сих пор является автором 12 книг по вопросам безопасности, а также бесчисленных эссе. и научные статьи.
Узнав о новейшей книге Шнайера «Продолжай: разумные советы» от Шнайера по безопасности, мы решили, что пришло время обратиться к Брюсу, чтобы получить несколько полезных советов, касающихся некоторых наших неотложных проблем в области конфиденциальности и безопасности.
Брюс Шнайер — Звуковой Совет
В глобальном мире, наполненном международным цифровым шпионажем, вредоносными программами и вирусными угрозами, а также анонимными хакерами на каждом углу — это может быть очень страшным местом для навигации.
Не бойтесь — потому что мы попросили Брюса дать нам некоторые рекомендации по некоторым из наиболее острых проблем безопасности
сегодня. Прочитав это интервью, вы по крайней мере уйдете с большим пониманием того, что на самом деле представляют собой угрозы, и что вы действительно можете сделать, чтобы защитить себя.
Понимание Театра Безопасности
MUO: Как потребитель, как я могу отличить «театр безопасности» от действительно безопасного приложения или услуги? (Термин «театр безопасности» был выбран из термина, который вы придумали в своих прошлых работах о том, как приложения и сервисы заявляют о безопасности как о точке продажи.)
Брюс: Вы не можете. В нашем специализированном и технологическом обществе вы не можете отличить плохие продукты и услуги во многих областях. Вы не можете отличить конструктивно надежный самолет от небезопасного. Вы не можете отличить хорошего инженера от шарлатана. Вы не можете отличить хороший фармацевтический продукт от змеиного масла. Это нормально, хотя. В нашем обществе мы доверяем другим, чтобы сделать эти определения для нас. Мы доверяем государственным программам лицензирования и сертификации. Мы доверяем проверяющим организациям, таким как Союз потребителей. Мы доверяем рекомендациям наших друзей и коллег. Мы доверяем экспертам
,
Безопасность ничем не отличается. Поскольку мы не можем отличить защищенное приложение или ИТ-службу от небезопасного, нам приходится полагаться на другие сигналы. Конечно, ИТ-безопасность настолько сложна и быстро развивается, что эти сигналы обычно подводят нас. Но это теория. Мы решаем, кому мы доверяем, и затем мы принимаем последствия этого доверия.
Хитрость в том, чтобы создать хорошие механизмы доверия.
Сделай сам Аудит безопасности?
MUO: Что такое «аудит кода» или «аудит безопасности» и как он работает? Crypto.cat был с открытым исходным кодом, что заставляло некоторых людей чувствовать, что это безопасно, но оказалось, что никто не проверял это. Как я могу найти эти проверки? Есть ли способы, которыми я мог бы проверять свое собственное ежедневное использование инструментов, чтобы убедиться, что я использую вещи, которые действительно защищают меня?
Брюс: Аудит означает то, что вы думаете, что это означает: кто-то еще посмотрел на это и сказал, что это хорошо. (Или, по крайней мере, нашел плохие детали и сказал кому-то их починить.)
Также очевидны следующие вопросы: кто его проверял, насколько обширным был аудит, и почему вы должны им доверять? Если вы когда-либо проходили домашний осмотр, когда покупали дом, вы понимаете проблемы. В программном обеспечении хороший аудит безопасности является всеобъемлющим и дорогостоящим, и, в конце концов, не гарантирует его безопасность.
Аудиты могут только найти проблемы; они никогда не смогут доказать отсутствие проблем. Вы можете определенно проверить свои собственные программные инструменты, если у вас есть необходимые знания и опыт, доступ к программному коду и время. Это все равно что быть твоим собственным врачом или адвокатом. Но я не рекомендую это.
Просто летать под радаром?
MUO: Существует также идея, что если вы используете такие высокозащищенные услуги или меры предосторожности, вы ведете себя подозрительно. Если у этой идеи есть свои достоинства, следует ли нам меньше концентрироваться на более безопасных услугах и вместо этого пытаться скрыться от радаров? Как бы мы это сделали? Какое поведение считается подозрительным, то есть что дает вам отчет меньшинства? Какова лучшая тактика «лежать»?
Брюс: Проблема с понятием полета под радаром, или лежа на низком уровне, состоит в том, что оно основано на предкомпьютерных представлениях о трудностях, когда кто-то замечает. Когда люди занимались наблюдением, имело смысл не привлекать их внимание.
Но компьютеры разные. Они не ограничены человеческими представлениями о внимании; они могут смотреть всех одновременно. Поэтому, хотя это может быть правдой, что использование шифрования — это то, что АНБ уделяет особое внимание, но если вы его не используете, это не значит, что вас заметят меньше. Лучшая защита — использовать безопасные сервисы, даже если это может быть красный флаг. Подумайте об этом так: вы предоставляете прикрытие для тех, кто нуждается в шифровании, чтобы остаться в живых.
Конфиденциальность и криптография
MUO: Винт Серф сказал, что неприкосновенность частной жизни является современной аномалией, и что в будущем у нас нет разумных ожиданий относительно неприкосновенности частной жизни. ты согласен с этим? Является ли приватность современной иллюзией / аномалией?
Брюс: Конечно, нет. Конфиденциальность — это фундаментальная человеческая потребность, и она очень реальна. Мы будем нуждаться в конфиденциальности в наших обществах, если они состоят из людей.
MUO: Не могли бы вы сказать, что мы, как общество, стали самодовольными в отношении криптографии данных?
Брюс: Конечно, мы, как дизайнеры и разработчики ИТ-услуг, стали довольны криптографией и безопасностью данных в целом. Мы создали Интернет, который уязвим для массового наблюдения, причем не только со стороны АНБ, но и любой другой национальной разведывательной организации на планете, крупных корпораций и киберпреступников. Мы сделали это по целому ряду причин, от «проще так» до «нам нравится получать вещи бесплатно в Интернете». Но мы начинаем понимать, что цена, которую мы платим, на самом деле довольно высока, надеюсь, мы приложим все усилия, чтобы изменить положение вещей.
Улучшение вашей безопасности и конфиденциальности
MUO: Какую форму / комбинацию паролей / авторизации вы считаете наиболее безопасной? Какие «лучшие практики» вы бы порекомендовали для создания буквенно-цифрового пароля?
Брюс: Я писал об этом недавно. Подробности стоит прочитать.
Примечание автора: связанная статья в конечном итоге описывает «схему Шнайера», которая работает для выбора безопасных паролей
, фактически цитируемый из его собственной статьи 2008 года на эту тему.
«Мой совет — взять предложение и превратить его в пароль. Что-то вроде «Этот маленький поросенок вышел на рынок» может стать «twpWENT2m». Этот девятисимвольный пароль не будет ни в одном словаре. Конечно, не используйте этот, потому что я написал об этом. Выберите свое собственное предложение — что-то личное ».
MUO: Как среднестатистический пользователь может лучше всего справиться / справиться с новостями о том, что его учетная запись на всемирно известном веб-сайте, в банке или в транснациональной компании была взломана (здесь речь идет о взломах данных типа Adobe / LinkedIn, а не об отдельном банке). аккаунт взломан из-за мошенничества с картой)? Должны ли они перенести свой бизнес? Как вы думаете, что нужно сделать, чтобы подчеркнуть, что отделы ИТ / безопасности данных считают, что немедленное, полное раскрытие информации — лучший PR?
Брюс: Это возвращает нас к первому вопросу. Мы, как клиенты, мало что можем сделать с безопасностью наших данных, когда они находятся в руках других организаций. Мы просто должны верить, что они собираются защитить наши данные. И когда они этого не делают — когда происходит серьезное нарушение безопасности — наш единственный возможный ответ — переместить наши данные в другое место.
Но 1) мы не знаем, кто более защищен, и 2) у нас нет гарантии, что наши данные будут стерты, когда мы переедем. Единственное реальное решение здесь — это регулирование. Как и во многих областях, в которых у нас нет опыта для оценки и мы должны доверять, мы ожидаем, что правительство вступит и обеспечит надежный процесс, на который мы можем положиться.
В сфере ИТ потребуется законодательство, обеспечивающее адекватную защиту наших данных нашими компаниями и информирующее нас о нарушениях безопасности.
Заключение
Само собой разумеется, что было честью сидеть и (виртуально) обсуждать эти вопросы с Брюсом Шнайером. Если вы ищете еще больше идей от Брюса, непременно ознакомьтесь с его последней книгой «Продолжай», в которой обещается, что Брюс решит такие важные проблемы безопасности, как взрыв в Бостонском марафоне, наблюдение за АНБ и кибератаки в Китае. Вы также можете получать регулярные дозы информации Брюса в его блоге.
Как видно из приведенных выше ответов, оставаться в безопасности в небезопасном мире непросто, но использование правильных инструментов, тщательный выбор предприятий и услуг, которым вы решили «доверять», и использование здравого смысла с вашими паролями — это очень хорошее начало.
