Sicurezza e privacy saranno sempre un atto di equilibrio imperfetto: il punto di vista di Alphr

Avevamo sempre programmato di concentrarci sulla sicurezza e sulla privacy ad aprile, ma i recenti eventi ci hanno sicuramente ricordato perché è necessario. Nell'attacco terroristico di marzo a Londra, vedete due facce della stessa medaglia: le vere e gravi minacce che affrontiamo nel 21° secolo e il analfabetismo tecnologico di coloro che cercano di prevenirli.

Ignorando la dubbia questione se una ridotta sicurezza avrebbe impedito questo attacco (teorie attuali suggeriscono che l'uomo abbia agito da solo

), c'è un'esasperante mancanza di comprensione di un semplice fatto: non esiste una backdoor di sicurezza che lascia passare solo i bravi ragazzi. È una scelta binaria: o le app di messaggistica sono crittografate o non lo sono. Suggerire altrimenti tradisce un'ignoranza della tecnologia o un rozzo tentativo di presa del potere statale.

C'è un altro strato di ironia qui: in un mondo in cui le violazioni della sicurezza di Internet sono un evento mensile, la crittografia di WhatsApp mostra un raro grado di lungimiranza che la maggior parte di noi non considera mentre ci iscriviamo con noncuranza a dozzine di siti Web ogni anno. Con sempre più dati online, dalle coordinate bancarie ai dati di fitness, il danno che può essere fatto dagli hacker diventa sempre più snervante.attraverso Statista.

Questo mese daremo uno sguardo ai problemi relativi alla sicurezza e alla privacy, ma come punto di partenza, ecco una serie di pensieri degli autori di Alphr.

Ian Betteridge: Sicurezza, non teatro di sicurezza

La più grande minaccia alla sicurezza nella tua organizzazione è sedersi, leggere questo: sei tu. Non che tu abbia intenzione di hackerare la tua stessa azienda o vendere segreti ai concorrenti, ma semplicemente in termini di potenziale per credere di aver fatto abbastanza al riguardo.

Parliamoci chiaro: non puoi mai fare abbastanza per la sicurezza della tua tecnologia. È qualcosa di cui devi costantemente essere consapevole e dovresti sempre valutare quanto puoi fare di più.

Ma la sfida più grande in realtà viene da qualcosa che chiamo "teatro della sicurezza": essere visti fare le cose, senza considerare effettivamente quanto siano efficaci. Il semplice passaggio a un servizio di posta elettronica basato su cloud che offre l'autenticazione a due fattori non renderà sicura la tua azienda, ma è qualcosa a cui le persone possono indicare e dire "abbiamo fatto delle cose". Nessun sistema è sicuro a meno che tu non crei attorno ad esso una cultura della sicurezza.

Questo mese riguarda la sicurezza reale, piuttosto che il teatro della sicurezza.

Alan Martin: Un vero problema che la maggior parte delle persone non prende in considerazione finché non è troppo tardi

Buone notizie e cattive notizie. La buona notizia è che è meno probabile che la tua casa venga scassinata rispetto a dieci anni fa. La cattiva notizia è che il tocco personale del ladro della vecchia scuola è stato sostituito da qualcosa che in realtà è molto peggio, anche se ti senti meno violato a breve termine.

Non è che non siamo stati avvertiti. Gli esperti di sicurezza informatica hanno gridato per anni a quanto siamo inutili con le password e l'attività online, ma è un argomento difficile da rendere interessante. Solo una manciata di persone legge le riviste di fabbro offline, quindi perché dovremmo aspettarci che la sicurezza informatica sia meno di nicchia? Ci interessiamo davvero alla sicurezza solo quando è troppo tardi e i dati personali di una vita intera vengono messi in vendita sul dark web al miglior offerente... probabilmente per una cifra offensivamente bassa preferiresti non sapere.

Come la maggior parte delle persone, la mia sicurezza online era terribile, perché la vita sembrava troppo breve. Quando Yahoo è stato violato ancora una volta, ho provveduto a risolvere il problema e ho chiuso l'account. Ma esaminando 12 anni di e-mail, ho scoperto quante briciole di pane avevo lasciato sparse per Internet. Decine di siti a cui mi ero iscritto, da cui avevo effettuato un solo ordine e poi dimenticato.

Adesso uso un gestore di password, ma forse la cosa più preoccupante del mio vecchio sistema, che senza svelare il gioco, era solo leggermente meglio che riutilizzare la stessa password ovunque – era che era ancora migliore della maggior parte ed era sufficiente per tenermi al sicuro durante i miei 20 anni.

Probabilmente è ora che ti rendi più difficile da hackerare rispetto alla persona accanto a te. Ma ricorda che se qualcuno è davvero determinato a hackerarti, probabilmente troverà un modo. Prega di non essere abbastanza interessante da disturbarti.

Jane McCallion: La sicurezza è ancora un mistero per la maggior parte delle persone, e questo è un problema

C'è un problema per quelli di noi nel mondo della sicurezza delle informazioni: amiamo parlare tra di noi, ma siamo davvero pessimi nel dire agli altri di cosa dovrebbero e non dovrebbero preoccuparsi.

Ci sediamo e parliamo di attori malintenzionati, APT e RAT, caccia alle balene e phishing e così via e così via. Sappiamo tutti di cosa stiamo parlando, ma per chiunque all'esterno è sconcertante. Anche i tentativi di rendere l'area più accessibile utilizzando nomi in codice per gruppi di hacking e malware non sono stati di grande aiuto, anzi, sospetto che possa aver peggiorato le cose.

Anche io ne sono colpevole, e passo gran parte della mia vita lavorativa a scrivere e parlare di sicurezza, ma c'è un presupposto abbastanza sicuro che, sul sito gemello di Alphr Professionista IT, quando scrivo dei dettagli di una vulnerabilità, patch, attacco o prodotto, il lettore è già in qualche modo informato.

Questa disconnessione tra la comunità della sicurezza e il pubblico in generale si manifesta in tanti modi. Gli hacker nelle foto d'archivio sono ancora giovani senza volto, con indosso una felpa nera nella migliore delle ipotesi, o qualcuno con un passamontagna nella peggiore. Se esiste un concetto di "esercito di hacker", probabilmente assomigliano più a un membro delle agenzie di intelligence russe o cinesi che a uno occidentale.

Ci sono anche problemi molto basilari. La sicurezza delle password è ancora lontana dall'essere una priorità: la facilità d'uso e la memorabilità sono al primo posto garantendo un'entropia elevata, mentre le impostazioni predefinite del router e del dispositivo vengono modificate raramente, anzi, a volte non possono esserlo cambiato. Ci sono soluzioni là fuori che usano alcune persone più giovani (come Alan), ma che cercano di convincere la generazione più anziana - quelli che sono stati pionieri dei PC e dei computer da ufficio, ma ora stanno andando in pensione: utilizzare strumenti come i gestori di password è una strada in salita lotta. La saggezza di lunga data secondo cui una password facile da ricordare che non si scrive o non si condivide è la cosa migliore che abbia più peso con loro e altri che “qui, usa questo strumento che genererà una stringa casuale di caratteri che non ricorderai mai e li memorizzerà in linea". È controintuitivo.

Man mano che sempre più dispositivi si connettono a Internet (mi rifiuto di parlare di tostapane "intelligenti" ecc non abbiamo neanche lontanamente la potenza di elaborazione per questo), vedremo più attacchi alimentati da artisti del calibro di Mirai. La probabilità che questo sia apocalittico, come alcuni hanno previsto in passato, è bassa: non avrai alcun impatto geopolitico reale attraverso la combustione spontanea del tostapane. Ma campagne DDoS sostenute condotte da enormi botnet costituite da dispositivi "intelligenti" scarsamente protetti? Potrebbe essere un punto di svolta, a seconda di chi prendono di mira.

Ad ogni modo, non credo che finirò presto le cose di cui scrivere.

Thomas McMullan: È un argomento difficile da afferrare

Concettualizzare la sicurezza digitale non è facile. Pensa alla sicurezza fisica e potresti avere una presa relativamente buona su serrature, persiane, porte, guantoni da boxe, ponti levatoi, fossati e così via. Pensa alla sicurezza online e, a meno che tu non sia esperto in un sacco di gergo black-hat, rimani aggrappato a termini incomprensibili per processi invisibili.

Poi c'è l'altra faccia della medaglia: la privacy. Dopo Snowden, i cittadini erano in armi per lo spionaggio del governo senza restrizioni, ma come si è tradotto questo nella legislazione? Di recente, non brillantemente. La carta dei ficcanaso diventato legge nel Regno Unito l'anno scorso, e quest'anno ci sono mosse serie per minare la privacy dei consumatori negli Stati Uniti. Alla base di tutto questo c'è la sensazione che, per quanto le persone affermino di avere a cuore la privacy, spingere all'azione sia un'altra questione, ancora una volta connessa alla difficoltà di afferrare quali siano effettivamente i limiti e le aspettative della privacy digitale Sono.

È un argomento che non scomparirà e la speranza è che la sicurezza digitale diventi qualcosa di più ampiamente compreso. Con l'avvento dei dispositivi connessi nelle nostre case e città, la quantità di informazioni sui privati ​​cittadini sta per salire alle stelle. Ci distaccheremo ulteriormente dai nostri dati (riponendo fiducia nel cloud)? O reagiremo in modo diverso alle domande sulla sicurezza e sulla privacy che circondano i sensori nelle nostre case rispetto ai nostri messaggi WhatsApp?