I dagens sammenkoblede verden er alt, hvad der kræves, en sikkerhedsfejl for at få hele verden til at gå ned. Hvem bedre at henvende sig til rådgivning end sikkerhedsekspert Bruce Schneier?
Hvis du selv har en forbipasserende interesse i sikkerhedsspørgsmål Red Alert: 10 Computer Security Blogs Du bør følge i dag Red Alert: 10 Computer Security Blogs, du bør følge i dag Sikkerhed er en afgørende del af computeren, og du bør stræbe efter at uddanne dig selv og forblive i gang . Du vil gerne tjekke disse ti sikkerhedsblog og sikkerhedseksperterne, der skriver dem. Læs mere, så er du sikkert kommet over brugen af Bruce Schneier, en verdenskendt sikkerhedsguru, der har tjent på mange regeringskomiteer, vidnede før kongressen og er forfatter til 12 bøger om sikkerhedsspørgsmål hidtil, samt utallige essays og akademiske papirer.
Efter at have hørt om Schneiers nyeste bog, Carry On: Lydrådgivning fra Schneier on Security, besluttede vi at det var på tide at nå ud til Bruce for at få nogle gode råd om nogle af vores egne presserende privatlivs- og sikkerhedsproblemer.
Bruce Schneier - Lydrådgivning
I en global verden fyldt med international digital spionage, malware og virusstrusler og anonyme hackere rundt om hvert hjørne - det kan være et meget skræmmende sted for alle at navigere.
Ikke frygte - for vi bad Bruce om at give os vejledning om nogle af de mest presserende sikkerhedsspørgsmål 5 ting vi lærte om online sikkerhed i 2013 5 ting vi lærte om online sikkerhed i 2013 Trusler er blevet mere komplekse og værre er Nu kommer fra steder, som de fleste aldrig ville forvente - ligesom regeringen. Her er 5 hårde lektioner, vi lærte om online sikkerhed i 2013. Læs mere i dag. Efter at have læst dette interview vil du i det mindste gå væk med en større bevidsthed om, hvad truslerne virkelig er, og hvad du virkelig kan gøre for at beskytte dig selv.
Forstå Security Theatre
MUO: Hvordan kan jeg som en forbruger skelne "sikkerhedsteater" fra en ægte sikker app eller tjeneste? (Betegnelsen "sikkerhedsteater" blev valgt ud fra det udtryk, du har lavet i dine tidligere skrifter om, hvordan apps og tjenester hævder sikkerhed som salgssted.)
Bruce: Du kan ikke. I vores specialiserede og teknologiske samfund kan du ikke fortælle dig godt om dårlige produkter og tjenester på mange områder. Du kan ikke fortælle et strukturelt forsvarligt fly fra en usikker. Du kan ikke fortælle en god ingeniør fra en charlatan. Du kan ikke fortælle et godt lægemiddel fra slangeolie. Det er okay. I vores samfund stoler vi andre på at gøre disse afgørelser for os. Vi har tillid til regeringens licens- og certificeringsprogrammer. Vi stoler på at gennemgå organisationer som forbrugerunionen. Vi stoler på anbefalinger fra vores venner og kolleger. Vi stoler på eksperter Stay Safe Online: Følg 10 Computer Security Eksperter På Twitter Bliv Sikker Online: Følg 10 Computer Security Experts På Twitter Der er enkle trin, du kan tage for at beskytte dig selv online. Brug en firewall- og antivirusprogrammel ved at oprette sikre adgangskoder og ikke lade dine enheder være uden tilsyn Det er alle absolutte must. Ud over det kommer det ned ... Læs mere.
Sikkerhed er ikke anderledes. Fordi vi ikke kan fortælle en sikker app eller it-tjeneste fra en usikker, skal vi stole på andre signaler. IT-sikkerhed er selvfølgelig så kompliceret og hurtig, at disse signaler rutinemæssigt mislykkes os. Men det er teori. Vi bestemmer, hvem vi stoler på, og så accepterer vi konsekvenserne af denne tillid.
Tricket er at skabe gode tillidsmekanismer.
DIY Sikkerhedsrevisioner?
MUO: Hvad er en "kode revision" eller en "sikkerhedsrevision" og hvordan virker det? Crypto.cat var open source, som fik nogle mennesker til at føle, at det var sikkert, men det viste sig ingen, der blev revideret det. Hvordan kan jeg finde disse revisioner? Er der måder, jeg kunne revidere min egen daglige brug af værktøjer, for at sikre, at jeg bruger ting der virkelig beskytter mig?
Bruce: En revision betyder, hvad du mener det betyder: en anden så på det og udtalte det godt. (Eller i det mindste fandt de dårlige dele og fortalte nogen at rette dem.)
De næste spørgsmål er også indlysende: hvem har revideret det, hvor omfattende var revisionen, og hvorfor skulle du have tillid til dem? Hvis du nogensinde har haft en hjemmeinspektion, da du købte et hus, forstår du problemerne. I software er gode sikkerhedsrevisioner omfattende og dyre og i sidste instans garanterer det ikke, at softwaren er sikker.
Revisioner kan kun finde problemer; de kan aldrig bevise manglen på problemer. Du kan helt sikkert revidere dine egne softwareværktøjer, forudsat at du har den nødvendige viden og erfaring, adgang til softwarekoden og tiden. Det er ligesom at være din egen læge eller advokat. Men jeg anbefaler det ikke.
Bare fly under radaren?
MUO: Der er også denne idé, at hvis du bruger sådanne yderst sikre tjenester eller forholdsregler, virker du på en eller anden måde mistænkelig. Hvis den idé har fortjeneste, skal vi fokusere mindre på mere sikre tjenester, og i stedet forsøge at flyve under radaren? Hvordan ville vi gøre det? Hvilken form for adfærd anses for mistænkelig, dvs. hvad får du en minoritetsrapport? Hvad er den bedste taktik til at "lægge lavt"?
Bruce: Problemet med at flyve under radaren eller ligge lavt er, at det er baseret på computerens forestillinger om vanskeligheden ved at bemærke nogen. Når folk var dem, der så på, var det fornuftigt ikke at tiltrække deres opmærksomhed.
Men computere er forskellige. De er ikke begrænset af menneskelige forestillinger om opmærksomhed; de kan se alle på samme tid. Så selvom det kan være sandt at bruge kryptering er noget, som NSA tager særlig mærke til, ikke at bruge det betyder ikke, at du bliver bemærket mindre. Det bedste forsvar er at bruge sikre tjenester, selvom det kan være et rødt flag. Tænk på det på denne måde: Du giver dækning til dem, der har brug for kryptering for at holde sig i live.
Privatliv og kryptografi
MUO: Vint Cerf sagde, at privatliv er en moderne anomali, og at vi ikke har en rimelig forventning om privatlivets fred i fremtiden. Er du enig i dette? Er privatlivets fred en moderne illusion / anomali?
Bruce: Selvfølgelig ikke. Privatliv er et grundlæggende menneskeligt behov, og noget der er meget rigtigt. Vi vil have behov for privatliv i vores samfund, så længe de består af mennesker.
MUO: Vil du sige, at vi som et samfund er blevet selvtilfredse med datakryptografi?
Bruce: Vi er bestemt som designere og bygherrer af it-tjenester blevet blevet selvtilfredse med kryptografi og datasikkerhed generelt. Vi har opbygget et internet, der er sårbart over for masseovervågning, ikke kun af NSA, men af alle andre nationale efterretningsorganisationer på planeten, store virksomheder og cyberkriminelle. Vi har gjort det af en række forskellige årsager, lige fra "det er nemmere på den måde" til "vi kan lide at få ting gratis på internettet." Men vi begynder at indse, at den pris, vi betaler, faktisk er ret høj, så forhåbentlig vil vi gøre en indsats for at ændre tingene.
Forbedre din sikkerhed og privatliv
MUO: Hvilken form / kombination af adgangskoder / autorisation anser du for mest sikre? Hvilke "bedste praksis" vil du anbefale til at oprette en alfanumerisk adgangskode?
Bruce: Jeg skrev om det for nylig. Detaljerne er værd at læse.
Forfatterens note: Den linkede artikel beskriver i sidste ende "Schneier Scheme", der fungerer for at vælge sikre adgangskoder. 7 måder at lave adgangskoder, der er både sikre og mindeværdige 7 måder at lave adgangskoder, der er både sikre og mindeværdige. Har en anden adgangskode til hver tjeneste er et must i dagens online verden, men der er en forfærdelig svaghed til tilfældigt genererede adgangskoder: det er umuligt at huske dem alle. Men hvordan kan du muligvis huske ... Læs mere, faktisk citeret fra sin egen 2008 artikel om emnet.
"Mit råd er at sætte en sætning og gøre det til et kodeord. Noget som 'Denne lille piggy gik på markedet' kan blive 'tlpWENT2m'. At nøgleordskoden er ikke i nogen ordbog. Selvfølgelig må du ikke bruge denne, fordi jeg har skrevet om det. Vælg din egen sætning - noget personligt. "
MUO: Hvordan kan den gennemsnitlige bruger bedst handle / klare de nyheder, at deres konto hos en verdensberømt hjemmeside, bank eller multinationalt firma er blevet kompromitteret (jeg taler om data brud på Adobe / LinkedIn typen her, snarere end en enkelt bankkonto overtrådt gennem kort svindel)? Skal de flytte deres forretning? Hvad tror du det vil tage for at understrege IT / datasikkerhed afdelinger, at øjeblikkelig, fuld offentliggørelse er den bedste PR?
Bruce : Dette bringer os tilbage til det første spørgsmål. Der er ikke meget vi, som kunderne kan gøre om sikkerheden af vores data, når det er i andre organisationers hænder. Vi skal bare stole på, at de skal sikre vores data. Og når de ikke - når der er et stort sikkerhedsbrud - er vores eneste mulige svar at flytte vores data et andet sted.
Men 1) vi ved ikke, hvem der er mere sikker, og 2) vi har ingen garanti for, at vores data slettes, når vi flytter. Den eneste virkelige løsning her er regulering. Ligesom så mange områder, hvor vi ikke har ekspertisen til at evaluere og skal forlade os, forventer vi, at regeringen træder ind og leverer en troværdig proces, som vi kan stole på.
I IT vil det tage lovgivning for at sikre, at virksomheder sikrer vores data tilstrækkeligt og informerer os, når der er sikkerhedsbrud.
Konklusion
Det siger sig selv, at det var en ære at sidde og (næsten) diskutere disse problemer med Bruce Schneier. Hvis du leder efter endnu mere indsigt fra Bruce, skal du sørge for at tjekke hans seneste bog, Carry On, som lover Bruces sager på vigtige sikkerhedsproblemer i dag som Boston Marathon-bombningen, NSA-overvågningen og de kinesiske cyberangreb. Du kan også få regelmæssige doser af Bruces indsigt på hans blog.
Som du kan se af svarene ovenfor, er det ikke helt nemt at holde sig trygt i en usikker verden, men ved at bruge de rigtige værktøjer, vælger du omhyggeligt hvilke virksomheder og tjenester du beslutter dig for at "stole på" og bruge sund fornuft med dine adgangskoder, er en meget god start.