Brian Curtis
0 
5142
1081
Günümüzün birbirine bağlı dünyasında, tek yapmanız gereken tüm dünyanızın çökmesini sağlamak için tek bir güvenlik hatası. Güvenlik uzmanı Bruce Schneier'den daha fazla tavsiye almak isteyenler?
Güvenlik konularına bile ilgi duyuyorsanız bile, Red Alert: Bugün Takip Etmeniz Gereken 10 Bilgisayar Güvenliği Blogları Red Alert: 10 Bugün Takip Etmeniz Gereken Bilgisayar Güvenliği Blogları Güvenlik, hesaplamanın çok önemli bir parçasıdır ve kendinizi eğitmek ve güncel kalmak için çaba göstermelisiniz . Bu on güvenlik bloguna ve bunları yazan güvenlik uzmanlarına göz atmak istersiniz. O zaman kesinlikle, çok sayıda hükümet komitesinde görev yapan, Kongre'den önce tanıklık eden ve bugüne kadar sayısız denemenin yanı sıra sayısız makalenin yazarı olan dünyaca ünlü bir güvenlik gurusu olan Bruce Schneier'in yazılarına kesinlikle rastladınız. ve akademik makaleler.
Schneier'in en yeni kitabı hakkında bir şeyler duyduktan sonra, Devam Ediyor: Schneier'den Güvenlik Üzerine Sesli Tavsiyeler, Kendi basın gizliliğimizin ve güvenlik kaygılarımızın bir kısmı hakkında sağlam bir tavsiye almak için Bruce'a ulaşmanın zamanı geldiğine karar verdik.
Bruce Schneier - Ses Tavsiyesi
Uluslararası dijital casusluk, kötü amaçlı yazılım ve virüs tehditleriyle dolu küresel bir dünyada ve her köşedeki anonim bilgisayar korsanları - herkesin gezinmesi için çok korkutucu bir yer olabilir.
Endişelenmeyin - Bruce'dan bize en acil güvenlik sorunlarından bazıları hakkında rehberlik sağlamasını istedik. 5 2013 Yılında Çevrimiçi Güvenlik Hakkında Öğrendiklerimiz 5 2013 Yılında Çevrimiçi Güvenlik Hakkında Öğrendiklerimiz Tehditler daha karmaşık ve daha kötüsü, şimdi, asla bekleyemeyeceğiniz yerlerden geliyor - hükümet gibi. İşte 2013 yılında çevrimiçi güvenlik hakkında öğrendiğimiz 5 zor ders. Bugün. Bu röportajı okuduktan sonra, en azından tehditlerin gerçekte ne olduğu ve kendinizi korumak için ne yapabileceğiniz konusunda daha fazla farkındalıktan uzaklaşacaksınız..
Güvenlik Tiyatrosu Anlamak
MUO: Bir tüketici olarak nasıl ayırt edebilirim “güvenlik tiyatrosu” gerçekten güvenli bir uygulama veya hizmetten mi? (Dönem “güvenlik tiyatrosu” Uygulamaların ve hizmetlerin güvenliği nasıl bir satış noktası olarak gördüğü konusundaki eski yazılarınıza yazdığınız terimden seçildiniz.)
Bruce: Yapamazsın Uzmanlaşmış ve teknolojik toplumumuzda, birçok alanda kötü ürünlerden ve hizmetlerden iyi söz edemezsiniz. Yapısal olarak sağlam bir uçağa güvensiz bir uçaktan söyleyemezsiniz. Bir şarlatandan iyi bir mühendis söyleyemezsin. Yılan yağından iyi bir farmasötik ürün söyleyemezsin. Yine de sorun değil. Toplumumuzda, bizler için bu belirlemeleri yapmak için başkalarına güveniyoruz. Devlet lisans ve sertifika programlarına güveniyoruz. Tüketiciler Birliği gibi kurumları incelemeye güveniyoruz. Arkadaşlarımızın ve meslektaşlarımızın tavsiyelerine güveniriz. Uzmanlarımıza Güvenin Çevrimiçi Kalın: Twitter'da 10 Bilgisayar Güvenliği Uzmanını Takip Edin Çevrimiçi Güvende Kalın: Twitter'da 10 Bilgisayar Güvenliği Uzmanını Takip Edin Kendinizi çevrimiçi korumak için atabileceğiniz basit adımlar vardır. Bir güvenlik duvarı ve virüsten koruma yazılımı kullanmak, cihazlarınızı katılımsız bırakmak yerine güvenli şifreler oluşturmak; Bunların hepsi mutlak şarttır. Bunun ötesinde aşağı gelir… .
Güvenlik farklı değil. Güvenli bir uygulamayı veya BT hizmetini güvensiz bir hizmetten söyleyemediğimiz için, diğer sinyallere güvenmek zorundayız. Tabii ki, BT güvenliği o kadar karmaşık ve hızlı hareket ediyor ki bu sinyaller rutin olarak bizi aksatıyor. Ama bu teori. Kime güvendiğimize karar veririz, sonra da bu güvenin sonuçlarını kabul ederiz..
İşin püf noktası iyi güven mekanizmaları oluşturmaktır.
DIY Güvenlik Denetimleri?
MUO: Nedir “kod denetimi” veya bir “güvenlik denetimi” ve nasıl çalışır? Crypto.cat açık kaynaklıydı, bu da bazı insanların güvenli olduğunu düşünüyordu, ancak kimsenin denetlemediği ortaya çıktı. Bu denetimleri nasıl bulabilirim? Beni gerçekten koruyan şeyleri kullandığımdan emin olmak için kendi günlük araç kullanımımı denetleyebilmemin yolları var mı??
Bruce: Denetim, ne anlama geldiğini düşündüğünüzü ifade eder: bir başkası ona baktı ve iyi olduğunu söyledi. (Ya da en azından kötü kısımları buldu ve birine tamir etmelerini söyledi.)
Sonraki sorular açıktır: kim denetledi, denetim ne kadar kapsamlıydı ve neden onlara güvenmelisiniz? Bir ev satın aldığınızda herhangi bir ev teftişinde bulunduysanız, sorunları anlarsınız. Yazılımda, iyi güvenlik denetimleri kapsamlı ve pahalıdır ve sonuçta yazılımın güvenli olduğunu garanti etmez..
Denetimler sadece sorun bulabilir; sorun yokluğunu asla kanıtlayamazlar. Gerekli bilgi ve deneyime sahip olduğunuzu, yazılım koduna ve zamana sahip olduğunuzu varsayarak, kendi yazılım araçlarınızı kesinlikle denetleyebilirsiniz. Tıpkı kendi doktorunuz veya avukatınız gibi. Ama bunu tavsiye etmiyorum.
Radarın Altında Uçun?
MUO: Ayrıca, bu kadar güvenli hizmetler veya önlemler kullanırsanız, bir şekilde şüpheli davranıyor olacağınız düşüncesi de var. Eğer bu fikir haklıysa, daha güvenli hizmetlere daha az odaklanmalı ve bunun yerine radarın altında uçmaya çalışmalı mıyız? Bunu nasıl yaparız? Ne tür bir davranış şüpheli olarak kabul edilir, yani size bir azınlık raporu veren nedir? En iyi taktik ne “yatmak”?
Bruce: Radarın altında uçma veya alçak yatma nosyonuyla ilgili problem, birisinin farkına varmanın bilgisayar önündeki zorlukları üzerine kurulu olmasıdır. İnsanlar izlemeyi yapanlar olduğunda, dikkatlerini çekmemek mantıklı geliyordu..
Ancak bilgisayarlar farklı. İnsanların dikkat nosyonlarıyla sınırlı değillerdir; Herkesi aynı anda izleyebilirler. Bu nedenle, şifrelemeyi kullanmanın NSA'nın özel not aldığı bir şey olduğu doğru olsa da, kullanmamanız daha az fark edileceğiniz anlamına gelmez. En iyi savunma, kırmızı bayrak olsa bile güvenli servisler kullanmaktır. Bunu şu şekilde düşünün: hayatta kalmak için şifrelemeye ihtiyaç duyanlar için koruma sağlıyorsunuz.
Gizlilik ve Şifreleme
MUO: Vint Cerf, mahremiyetin modern bir anomali olduğunu ve gelecekte mahremiyet için makul bir beklentimizin olmadığını söyledi. Buna katılıyor musun? Mahremiyet modern bir yanılsama / anomali midir?
Bruce: Tabii ki değil. Gizlilik, temel bir insan ihtiyacı ve çok gerçek olan bir şeydir. İnsanlardan oluştukları sürece toplumlarımızda gizliliğe ihtiyaç duyacağız..
MUO: Bir toplum olarak veri şifreleme konusunda endişeli hale geldiğimizi söyler misiniz??
Bruce: Kuşkusuz, BT hizmetlerinin tasarımcıları ve geliştiricileri olarak kriptografi ve genel olarak veri güvenliği konusunda endişeli olduk. Sadece NSA tarafından değil, gezegendeki diğer tüm ulusal istihbarat teşkilatları, büyük şirketler ve siber suçlular tarafından kitlesel gözetimi savunmasız bir İnternet kurduk. Bunu, çeşitli nedenlerle yaptıktan sonra “bu şekilde daha kolay” için “İnternette ücretsiz olarak şeyleri almaktan hoşlanıyoruz.” Ama ödediğimiz fiyatın oldukça yüksek olduğunu fark etmeye başlıyoruz, umarım işleri değiştirmek için çaba harcarız..
Güvenliğinizi ve Gizliliğinizi Geliştirmek
MUO: En güvenli hangi form / şifre kombinasyonunu / yetkilendirmeyi düşünüyorsunuz? Ne “en iyi uygulamalar” alfasayısal bir şifre oluşturmak için tavsiye eder misiniz?
Bruce: Bu konuda son zamanlarda yazdım. Detaylar okumaya değer.
Yazarın notu: Bağlantılı makale sonunda açıklar “Schneier Şeması” güvenli şifreler seçmek için işe yarar 7 Her ikisi de güvenli ve unutulmaz şifreleri oluşturmanın 7 yolu Her ikisi de güvenli ve unutulmaz şifreleri oluşturmanın her yolu Her hizmet için farklı bir şifreniz olması bugünün çevrimiçi dünyasında bir zorunluluktur, ama korkunç bir zayıflık var rastgele oluşturulmuş şifrelere: hepsini hatırlamak imkansızdır. Ama nasıl hatırlıyorsunuz…… aslında konuyla ilgili 2008 tarihli kendi makalesinden alıntılandı..
“Tavsiyem bir cümle alıp şifreye çevirmek. 'Bu küçük domuzcuk piyasaya girdi' gibi bir şey 'tlWW2m' olabilir. Bu dokuz karakterlik şifre kimsenin sözlüğünde olmayacak. Tabii ki, bunu kullanma, çünkü onun hakkında yazdım. Kendi cümlenizi seçin - kişisel bir şey.”
MUO: Ortalama bir kullanıcı dünyaca ünlü bir web sitesi, banka veya çok uluslu bir şirkette hesaplarının tehlikeye girdiği haberleriyle en iyi nasıl başa çıkabilir / başa çıkabilir (Burada tek bir banka yerine Adobe / LinkedIn türündeki veri ihlallerinden bahsediyorum. hesabı dolandırıcılığı ihlal edildi)? İşlerini taşımalılar mı? BT / veri güvenliği departmanlarına derhal, tam açıklamanın en iyi PR olduğunu vurgulamanın ne olacağını düşünüyorsunuz??
Bruce: Bu bizi ilk soruya geri getiriyor. Müşterilerimizin, diğer kuruluşların elinde olduğunda verilerimizin güvenliği hakkında yapabileceğimiz pek bir şey yok. Sadece verilerimizi koruyacaklarına güvenmeliyiz. Ve olmadığında - büyük bir güvenlik ihlali olduğunda - mümkün olan tek cevabımız verilerimizi başka bir yere taşımaktır.
Ancak 1) kimin daha güvenli olduğunu bilmiyoruz ve 2) hareket ettiğimizde verilerimizin silineceğini garanti etmiyoruz. Buradaki tek gerçek çözüm düzenleme. Değerlendirmek için uzmanlığımızın olmadığı ve güvenilmesi gereken pek çok alanda olduğu gibi, hükümetin adım atmasını ve güvenebileceğimiz güvenilir bir süreç sağlamasını bekliyoruz..
BT’de, şirketlerin verilerimizi uygun bir şekilde güvence altına almasını sağlamak ve güvenlik ihlalleri olduğunda bizi bilgilendirmek için yasal düzenlemeler yapılacaktır..
Sonuç
Dışarıda oturmanın bir onur olduğunu ve (neredeyse) bu sorunları Bruce Schneier ile tartışmaktan ibaret olmadığını söylüyor. Bruce'dan daha fazla bilgi edinmek istiyorsanız, elbette, Bruce'un bugün Boston Maratonu bombalaması, NSA gözetimi ve Çinli siber saldırıları gibi önemli güvenlik meselelerini ele almasını vaat eden en son kitabı olan Carry On'a göz attığınızdan emin olun. Ayrıca Bruce'un içgüdülerinden düzenli dozlar alabilirsiniz..
Yukarıdaki yanıtlardan da anlaşılacağı gibi, güvensiz bir dünyada güvende olmak tam olarak kolay değildir, ancak doğru araçları kullanmak, hangi iş ve hizmetlere karar vereceğinizi dikkatlice seçmek “güven”, ve şifrelerinizle sağduyulu kullanmak çok iyi bir başlangıçtır.