Esperto di sicurezza Bruce Schneier su password, privacy e fiducia
Nel mondo interconnesso di oggi, basta un errore di sicurezza per far crollare il tuo intero mondo. A chi rivolgersi per un consiglio migliore dell'esperto di sicurezza Bruce Schneier?
Se hai anche un interesse passeggero in questioni di sicurezza Red Alert: 10 Blog sulla sicurezza dei computer che dovresti seguire oggi Red Alert: 10 Blog sulla sicurezza informatica che dovresti seguire oggi La sicurezza è una parte cruciale dell'informatica e dovresti cercare di educarti e rimanere aggiornato . Dovrai controllare questi dieci blog sulla sicurezza e gli esperti di sicurezza che li scrivono. Per saperne di più, allora hai sicuramente incontrato gli scritti di Bruce Schneier, un guru della sicurezza di fama mondiale che ha fatto parte di numerosi comitati governativi, ha testimoniato davanti al Congresso, ed è autore di 12 libri su questioni di sicurezza fino ad ora, oltre che innumerevoli saggi e articoli accademici.
Dopo aver sentito del nuovo libro di Schneier, Continua: una buona consulenza di Schneier sulla sicurezza, abbiamo deciso che era giunto il momento di contattare Bruce per ottenere alcuni validi consigli su alcuni dei nostri pressanti problemi di privacy e sicurezza.
Bruce Schneier - Sound Advice
In un mondo globale pieno di spionaggio digitale internazionale, minacce malware e virus e hacker anonimi dietro ogni angolo, può essere un posto molto spaventoso per chiunque possa navigare.
Non abbiate paura, perché abbiamo chiesto a Bruce di fornirci alcune indicazioni su alcuni dei problemi di sicurezza più urgenti 5 cose che abbiamo imparato sulla sicurezza online nel 2013 5 cose che abbiamo imparato sulla sicurezza online nel 2013 Le minacce sono diventate più complesse e, peggio, sono ora proviene da luoghi che la maggior parte non si aspetterebbe mai, come il governo. Qui ci sono 5 lezioni difficili che abbiamo imparato sulla sicurezza online nel 2013. Leggi di più oggi. Dopo aver letto questa intervista, almeno te ne andrai via con una maggiore consapevolezza di quali siano realmente le minacce e di cosa puoi davvero fare per proteggerti.
Capire il teatro della sicurezza
MUO: Come consumatore, come posso distinguere “teatro della sicurezza” da un'app o un servizio veramente sicuro? (Il termine “teatro della sicurezza” è stato scelto dal termine che hai coniato nei tuoi scritti precedenti su come le app e i servizi rivendicano la sicurezza come un punto di forza.)
Bruce: Non puoi Nella nostra società specializzata e tecnologica, non è possibile distinguere il bene da prodotti e servizi scadenti in molte aree. Non si può distinguere un aereo strutturalmente sano da uno non sicuro. Non puoi dire ad un bravo ingegnere da un ciarlatano. Non si può distinguere un buon prodotto farmaceutico dall'olio di serpente. Va bene, però. Nella nostra società, ci fidiamo degli altri per fare quelle determinazioni per noi. Ci fidiamo dei programmi di licenza e certificazione governativa. Abbiamo fiducia nella revisione di organizzazioni come l'Unione dei consumatori. Confidiamo nelle raccomandazioni dei nostri amici e colleghi. Ci fidiamo di esperti Rimani sicuro online: Segui 10 esperti di sicurezza informatica su Twitter Rimani sicuro online: Segui 10 esperti di sicurezza informatica su Twitter Ci sono semplici passaggi da seguire per proteggersi online. Utilizzando un firewall e un software antivirus, creando password sicure, senza lasciare i propri dispositivi incustoditi; questi sono tutti must. Oltre a ciò, scende ... Leggi altro .
La sicurezza non è diversa. Poiché non possiamo distinguere un'app o un servizio IT sicuro da uno non sicuro, dobbiamo fare affidamento su altri segnali. Certo, la sicurezza IT è così complicata e veloce da farci fallire regolarmente. Ma questa è teoria. Decidiamo di chi ci fidiamo e quindi accettiamo le conseguenze di tale fiducia.
Il trucco è creare buoni meccanismi di fiducia.
Audit di sicurezza fai-da-te?
MUO: Cos'è un “verifica del codice” o a “controllo di sicurezza” E come funziona? Crypto.cat era open-source, il che ha fatto pensare a qualcuno che fosse sicuro, ma non è stato verificato da nessuno. Come posso trovare questi controlli? Ci sono modi in cui posso controllare il mio uso quotidiano degli strumenti, per assicurarmi di usare cose che mi proteggano davvero?
Bruce: Un controllo significa ciò che pensi che significhi: qualcun altro lo ha guardato e lo ha pronunciato bene. (O, almeno, trovato le parti difettose e ha detto a qualcuno di risolverle.)
Le prossime domande sono anche ovvie: chi l'ha controllato, quanto è stato esteso l'audit e perché dovresti fidarti di loro? Se hai mai fatto un'ispezione a casa quando hai comprato una casa, capisci i problemi. Nel software, i buoni controlli di sicurezza sono completi e costosi e, alla fine, non garantiscono che il software sia sicuro.
Gli audit possono solo trovare problemi; non possono mai dimostrare l'assenza di problemi. È possibile verificare definitivamente i propri strumenti software, presupponendo che si disponga delle conoscenze e dell'esperienza necessarie, dell'accesso al codice del software e del tempo. È come essere il tuo medico o avvocato. Ma io non lo consiglio.
Basta volare sotto il radar?
MUO: C'è anche questa idea che se si utilizzano servizi o precauzioni altamente sicuri, in qualche modo si sta comportando in modo sospetto. Se quell'idea ha un merito, dovremmo concentrarci meno su servizi più sicuri, e invece provare a volare sotto il radar? Come lo faremmo? Che tipo di comportamento è considerato sospetto, cioè cosa ti procura un rapporto di minoranza? Qual è la migliore tattica per “giaceva basso”?
Bruce: Il problema con la nozione di volare sotto il radar, o sdraiato basso, è che si basa su nozioni pre-computer della difficoltà nel notare qualcuno. Quando le persone facevano la sorveglianza, aveva senso non attirare la loro attenzione.
Ma i computer sono diversi. Non sono limitati dalle nozioni umane di attenzione; possono guardare tutti allo stesso tempo. Quindi, anche se può essere vero che l'uso della crittografia è qualcosa di cui l'NSA prende nota in modo particolare, non usarlo non significa che sarai notato di meno. La migliore difesa è usare i servizi sicuri, anche se potrebbe essere una bandiera rossa. Pensaci in questo modo: stai fornendo una copertura per coloro che hanno bisogno di crittografia per rimanere in vita.
Privacy e crittografia
MUO: Vint Cerf ha affermato che la privacy è un'anomalia moderna e che in futuro non avremo una ragionevole aspettativa di privacy. Sei d'accordo con questo? La privacy è un'illusione / anomalia moderna?
Bruce: Ovviamente no. La privacy è un bisogno umano fondamentale e qualcosa di molto reale. Avremo bisogno di privacy nelle nostre società purché siano composte da persone.
MUO: Diresti che noi come società siamo diventati compiacenti riguardo alla crittografia dei dati?
Bruce: Sicuramente come designer e costruttori di servizi IT siamo diventati compiacenti della crittografia e della sicurezza dei dati in generale. Abbiamo costruito un Internet che è vulnerabile alla sorveglianza di massa, non solo dalla NSA ma da ogni altra organizzazione di intelligence nazionale sul pianeta, grandi aziende e criminali informatici. Lo abbiamo fatto per una serie di motivi, che vanno da “è più facile in questo modo” a “ci piace fare cose gratis su Internet.” Ma stiamo iniziando a renderci conto che il prezzo che stiamo pagando è in realtà piuttosto alto, quindi speriamo di fare uno sforzo per cambiare le cose.
Migliorare la sicurezza e la privacy
MUO: Quale forma / combinazione di password / autorizzazione consideri più sicura? Che cosa “migliori pratiche” consiglieresti di creare una password alfanumerica?
Bruce: Ho scritto di recente. I dettagli valgono la pena di essere letti.
Nota dell'autore: L'articolo collegato alla fine descrive il “Schema Schneier” che funziona per la scelta di password sicure 7 modi per creare password sicure e memorabili 7 modi per creare password sicure e memorabili Avere una password diversa per ogni servizio è un must nel mondo online di oggi, ma c'è una terribile debolezza alle password generate casualmente: è impossibile ricordarle tutte. Ma come puoi ricordare ... Read More, in realtà citato dal suo articolo del 2008 sull'argomento.
“Il mio consiglio è di prendere una frase e trasformarla in una password. Qualcosa come "Questo piccolo porcellino è andato sul mercato" potrebbe diventare "tlpWENT2m". Quella password di nove caratteri non sarà nel dizionario di nessuno. Certo, non usare questo, perché ne ho scritto. Scegli la tua frase, qualcosa di personale.”
MUO: In che modo l'utente medio può affrontare / gestire meglio le notizie che il suo account con un sito Web, una banca o una società multinazionale di fama mondiale è stato compromesso (sto parlando di violazioni dei dati del tipo Adobe / LinkedIn qui, piuttosto che una singola banca account violato tramite frode con carta)? Dovrebbero spostare la loro attività? Cosa pensi che vorrà sottolineare ai reparti IT / sicurezza dei dati che la divulgazione immediata e completa è la migliore PR?
Bruce: Questo ci riporta alla prima domanda. Non c'è molto che noi clienti possiamo fare per la sicurezza dei nostri dati quando è nelle mani di altre organizzazioni. Dobbiamo semplicemente fidarci che assicureranno i nostri dati. E quando non lo fanno - quando c'è una grande violazione della sicurezza - la nostra unica risposta possibile è spostare i nostri dati da qualche altra parte.
Ma 1) non sappiamo chi è più sicuro, e 2) non abbiamo alcuna garanzia che i nostri dati verranno cancellati quando ci trasferiremo. L'unica vera soluzione qui è la regolamentazione. Come in molte aree in cui non disponiamo delle competenze per valutare e dobbiamo fidarci, ci aspettiamo che il governo intervenga e fornisca un processo affidabile su cui possiamo fare affidamento.
Nell'IT, ci vorrà una legislazione per garantire che le aziende proteggano adeguatamente i nostri dati e ci informino in caso di violazioni della sicurezza.
Conclusione
Va da sé che è stato un onore sedersi e (praticamente) discutere di questi problemi con Bruce Schneier. Se stai cercando ulteriori informazioni su Bruce, assicurati di dare un'occhiata al suo ultimo libro, Carry On, che promette l'interpretazione di Bruce su importanti problemi di sicurezza oggi come l'attentato alla maratona di Boston, la sorveglianza della NSA e i cyber-attacchi cinesi. Puoi anche ottenere regolari dosi di intuizione di Bruce sul suo blog.
Come puoi vedere dalle risposte sopra, stare al sicuro in un mondo non sicuro non è esattamente facile, ma usando gli strumenti giusti, scegliendo con cura quali attività e servizi decidi di “fiducia”, e usare il buon senso con le tue password è un ottimo inizio.
Scopri di più su: sicurezza online, password.