10 velikih idej na področju digitalne varnosti

Nedolgo nazaj so varnostne novice pomenile nejasne ranljivosti in viruse, ki se širijo po namiznih računalnikih. Zdaj pa so ljudje povsod zaskrbljeni zaradi vohljanja vladnih agencij, Heartbleed pušča svoje osebne podatke po spletu in naraščajoče mobilne grožnje. Heck, poročanje o poročilih Edwarda Snowdena o domačih vohunskih naporih Nacionalne varnostne agencije je letos prejelo Pulitzerove nagrade. Ko se naše življenje bolj osredotoča na digitalne naprave in internet, se vse več ljudi skrbi za varnost in prav je tako. Vprašanje je, katera so resnična vprašanja - in kaj je ravno odziv mesecev od glavnih medijev?

Za trden pregled tega, kar je resnično pomembno, se vrnite na pretekli februar, ko se je na tisoče udeležencev odpravilo v San Francisco na konferenco RSA. Med njimi so bili ustvarjalci varnostnih izdelkov in raziskovalci, ki so pretrgali nekatere največje varnostne zgodbe. Gre za eno največjih tovrstnih srečanj, ideje RSAC-a pa bodo imele velik vpliv na digitalno varnost preostalo leto.

Snowden in varnost

Ljudje so se šalili, da ameriška vlada posluša vse, kar so vsi povedali, vendar se nihče več ne smeji. Domnevni dogovor med Agencijo za nacionalno varnost in varnostjo RSA je pomenil velik del te konference, ki ni več neposredno povezana s podjetjem RSA.

Presenetljivo se je NSA še enkrat odločila, da bo letos prisotna na razstavnem prostoru. Tudi če tega ne bi bilo, se je bilo težko izogniti NSA. Nekateri prodajalci so jim podarili podstavke z logotipom agencije, drugi pa so se na javne deske odločili pisati pripombe. En prodajalec je očitno nasprotoval, da se nahaja v bližini kabine NSA, medtem ko je drugi izkoristil priložnost, da predloži zanke posnetke o Snowdnu.

Nekateri govorci so v znak protesta potegnili svoje predstavitve in organizirali tekmovalni enodnevni dogodek, imenovan Trustycon. To naj bi pomagalo ozaveščati o vprašanjih zasebnosti, čeprav so nekateri videli drugače.

Kitajska Kdo?

Lani je bil bahavec pod posteljo Kitajska. Strah med strokovnjaki v industriji so bili sponzorirani državni ali osamljeni napadalci iz Kitajske, ki so kradli intelektualno lastnino in jo prodali ali dali kitajskim konkurentom. Obstajala je tudi grožnja kibernetske vojne med narodi, ki je postala resničnejša z nenehnimi poročili o izpopolnjenih naprednih vztrajnih grožnjah.

Hitro naprej do tega leta in skrbi so bolj blage. Govorniki so omenili "krajo intelektualne lastnine", vendar niso videli potrebe, da bi povedali, kdo bo za njimi. Ko so bili lani omenjeni napadi "nacionalne države", je to gotovo pomenilo "Kitajsko", letos pa bi to lahko pomenilo "Združene države Amerike."

Deset stvari

Zunaj teh velikih zgodb je bilo na RSA nekaj obetavnih razvojnih dogodkov, nove tehnologije in preizkušenih nasvetov. V prvi vrsti? Nalijte programsko opremo. Bilo je tudi veliko prodajalcev, ki si želijo premakniti gesla, za katere upamo, da se bodo kmalu zgodile. Prav tako upam, da vsi preberete pred oddajo prihodnje leto.

To je bilo nekaj velikih zgodb, ki jih brskajo varnostni strokovnjaki, vendar niso edini. Tukaj je naših deset najboljših idej, ki se trenutno odvijajo na področju varnosti.

1 10. Zadaj v šifriranju

Agencija za nacionalno varnost je bila v mislih na letošnji konferenci in to je bila največja varnostna zgodba v preteklem letu. In čeprav je konferenca RSA ločena od družbe RSA Security, je bila domnevna večmilijonska povezava med RSA in NSA pogosta tema razprav. Predsednik RSA Art Coviello je v svojem glavnem nagovoru zavrnil obtožbe, a pozval k reformam znotraj vohunske agencije. V nasprotju z lanskim letom so se strahovi pred Kitajsko zavzeli pred pomisleki, da šifriranje morda ne bo tako varno, kot smo mislili.



2 9. Buzzwords Killing Words

Ko beseda doseže status buzzword, preneha pomeniti karkoli koristnega. Na žalost je bilo v RSAC tolik takšnih besed, kjer so vsi uporabljali iste besede, vendar se nihče ni strinjal z definicijo. Ali gre za obveščevalne podatke o grožnjah, ali smo govorili o kazalcih kompromisa ali smo govorili o obogatitvi obstoječih podatkov s tretjimi viri? Kaj natančno sploh pomeni "next-gen"? Na tej točki bi morali biti pri naslednjem naslednjem rodu. Kako lahko toliko izdelkov napoveduje varnostno revolucijo? Ali industrija sploh ve, kaj vse se obeta?

Slika prek uporabnika Flickr Soumyadeep Paul



3 8. Ko napadejo tosterje, avtomobile in kavne avtomate

Internet stvari se je letos povzpel na konferenco RSA in vsi so zaskrbljeni zaradi možnosti, da bi jih zagotovili. Ključna težava - kar je zelo muka - je, da še nismo pripravljeni zagotoviti vseh svojih naprav, naj bodo to gospodinjski aparati, medicinski pripomočki ali avtomobili. Kljub temu nekateri niso bili toliko zaskrbljeni, saj pravijo, da kriminalci ne bi poskušali na daljavo nadzorovati ali zrušiti povezanega avtomobila. Bolj verjetno bi bilo, da bi kriminalci šli "navzgor", da bi ogrozili strežnike, ki uporabljajo stvari - na primer strežnike OnStar za avtomobile - in jih zaslužili.

Internet stvari bo brez dvoma objemal vedno več, ko bo več naprav povezano. Po zagonu Heartbleeda raziskovalci niso skrbeli samo za strežnike, temveč za vse povezane naprave.



4 7. Šifrirajte vse

Odgovor vseh o tem, kako izboljšati varnost - zlasti mobilno varnost - je bilo šifriranje, šifriranje, šifriranje. Mobilne aplikacije prenašajo ogromno količin informacij po internetu in mnogi razvijalci se odločijo, da ne bodo šifrirali teh transakcij, kar bi napadalcem in nacionalnim državam dalo veliko pozornosti. Bruce Schneier, C3 Co3, se je spet obrnil na NSA in zatrdil, da je agencija verjetno kršila neke oblike šifriranja, vendar ne more obdelati ogromnih količin šifriranih podatkov. Dejal je, da velika količina nezakodiranih informacij, ki letijo naokoli, preprosto olajša vsakogar, ki želi shraniti podatke. Še februarja so pomisleki glede šifriranja temeljili na ranljivostih, ki so jih ustvarili NSA in Apple-ove težave SSL. Napoved Heartbleeda je trezen opomnik, da tudi najboljša orodja, ki jih še imamo, niso popolna.

Slika prek uporabnika Flickr Anonimni račun

• 5 6. Ni srebrnih nabojev

  Veliko časa smo se pogovarjali o predstavitvah in posameznikih v RSAC, vendar ne smemo pozabiti, da je dogodek sejemski sejem in da je razstavni prostor poln prodajalcev, ki kupce prepričajo, da je njihov izdelek najboljši. Presenetljivo je, da so številna varnostna podjetja še vedno potiskala idejo o srebrnih kroglah - rešitvi za enkratno uporabo za vse vaše varnostne težave. To je nekoliko presenetljivo glede na to, da je preteklo leto pokazalo, da so številni načini za napade in da se lahko razlikujejo glede na to, kdo stoji za njimi in za njimi. HP-jev višji VP Art Gilliland je predlagal, naj podjetja prenehajo iskati novo orožje in se bolj zavzemajo za celovit pristop k varnosti. Najpomembnejše na njegovem seznamu izboljšav? Naložite v posameznike in izboljšajte varnostno usposabljanje.



6 5. Mobilni AV ne deluje

Medtem ko je slavil varnostno skupnost, ki je sodelovala z Androidom in ga izboljševala, je Googlov glavni inženir za Android Security doslej slabo videl varnost mobilnih naprav. Dejal je, da je cilj Googla zagotoviti tiho, nevidno varnost in predlagal, da se varnostna podjetja bolj posvetijo pozornosti in povečajo prodajo. Direktor viaForensics in soustanovitelj Andrew Hoog se je lotil tudi tradicionalnih varnostnih modelov na mobilnih napravah. Izpostavil je, da peskovništvo z aplikacijami v mobilnih operacijskih sistemih dobro deluje pri varovanju aplikacij, hkrati pa omejuje zmožnost varnostnih aplikacij, da se spoprijemajo z grožnjami. Njegova rešitev? Razvijalcem varnosti omogočite dostop do korenskih pravic.

Z nobenim stališčem se ne strinjam popolnoma, vendar naraščajoče mobilne grožnje zahtevajo nove načine zavarovanja naprav. Zaščita pred zlonamernimi aplikacijami ni dovolj, in čeprav orodja, ki jih varnostna podjetja dodajajo v svoje mobilne aplikacije, so uporabna, ne bodo za vedno dovolj.

Slika prek uporabnika Flickr Tiago A. Pereira



7 4. Varnost v voznikovem sedežu

Veliko govorimo o tem, kako mora biti varnost del DNK organizacije in kako varnostne ekipe ves čas ne morejo samo reagirati na krize ali v načinu gašenja. Zdi se, da je splošno soglasje pred grožnjami, ne glede na to, ali je z boljšimi varnostnimi praksami mogoče zapreti napade napada ali se vključiti v druge ekipe, da bi zagotovili, da bodo pomisleki glede varnosti že od samega začetka.



8 3. Potrebujemo več ljudi v varnosti

Ena izmed stvari, o kateri smo stalno slišali, je, kako je primanjkovalo varnostnih strokovnjakov. Podjetja, ki jim tradicionalno ni bilo treba razmišljati o varnosti - varovanju svojih podatkov ali zagotavljanju, da so njihovi izdelki varni - si zdaj prizadevajo najti izkušene varnostne strokovnjake. Vladne agencije poskušajo pritegniti najsvetlejše hekerje, da zapolnijo svoje vrste. Obstaja vrzel v usposobljenosti, deloma tudi zato, ker nimamo dovolj ljudi, specializiranih za varnost, pa tudi zato, ker podjetja ne opravljajo dobrega zaposlovanja.

Potrebujemo več žensk v tehniki in še posebej v informacijski varnosti. Na zasedanjih v RSAC so se osredotočili na oblikovanje podpornih struktur za spodbujanje žensk, ki jih zanima infosec, in tudi na poudarjanje nekaterih njihovih dosežkov.



9 2. Prepuščene aplikacije so slabše od mobilne zlonamerne programske opreme

Zaščita pred zlonamerno programsko opremo še naprej ostaja v središču pozornosti za številna mobilna varnostna podjetja, vendar to še zdaleč ni edina grožnja. Številni udeleženci na konferenci RSAC so predlagali, da so puščajoče aplikacije - torej aplikacije, ki osebne podatke uporabnikov prenašajo brez šifriranja ali v ogromnih količinah - za uporabnike veliko večje grožnje. Za bralce naše oddaje o mobilnih grožnjah ponedeljek to ne sme presenetiti. Letos se veselimo novih orodij, kot je viaProtect, s pomočjo katerih bodo potrošniki videli, kaj v resnici počnejo njihove aplikacije. Kljub temu je gledanje, kako se nekdo raztrga, spreminja in prepakira aplikacijo za Android v petih minutah, opomnik, da je zlonamerna programska oprema še vedno težava.

Slika prek uporabnika Flickr Grotuk

• 10 1. Nadzor ne mine

  Sveže kovani direktor FBI-ja James Comey je v svoji predstavitvi RSAC 2014 razjasnil dve stvari: FBI potrebuje sodelovanje pri poslovanju za boj proti kibernetskim grožnjam, toda elektronski nadzor je tu, da ostane. Na eni ravni to vsi vemo. Ne moremo pričakovati, da bodo vohuni in policaji kar naprej prisluškovali telefonom, ko slabi fantje komunicirajo z e-pošto in drugimi orodji. Kot družba se moramo sprijazniti, da so digitalne komunikacije cilj in morda legitimna. Podobno so strokovnjaki na fascinantni okrogli mizi ameriških obveščevalcev izpostavili, da NSA ni "lopovska agencija" in da se vsa druga nacionalna država ukvarja z elektronskim nadzorom. Povedali so tudi, da mora domače vohunjenje doseči boljše ravnovesje z zasebnostjo in da ljudje ne bi smeli dovoliti, da izvoljeni uradniki uporabijo svojo "naslovnico" verjetne zanikljivosti za obveščevalne operacije.