WIR SIND ALLE VERRÜCKT, ABER WIR SIND KEINE NIHILISTEN - TECHCRUNCH - SOZIALEN MEDIEN - 2019

Anonim

Wir sind so verdammt, es ist fast lustig und war es schon immer. Mach dir keine Sorgen, ich bin nicht politisch!

.

naja, nicht genau. Ich spreche über den Zustand der Internetsicherheit, der wie immer katastrophal ist. Machst du dir Sorgen über russische Hacker? Hah! Du solltest so glücklich sein wie gehackt zu werden. Wir sollten alle so glücklich sein, ein funktionierendes Internet zu haben, mit dem sie uns hacken können.

Nun, OK, Sie sollten sich vielleicht auch Sorgen um russische Hacker, Ransomware und Zertifizierungsstellen machen und - wenn Sie überhaupt hochkarätig sind - Spear-Phishing und Doxxing, und, na ja, lassen Sie uns von anderen Dingen reden. Es gibt eine Menge Sorgen.

Aber worüber Sie sich am meisten Sorgen machen sollten, sind Verzweiflung, erlernte Hilflosigkeit und die scheinbar unsterbliche Feindschaft zwischen dem Besten und dem Guten in der Sicherheitswelt. Vielleicht können wir nicht alles reparieren, aber es gibt immer noch eine Menge relativ einfacher Dinge, die wir tun können - aber nicht tun - um unser Leben besser zu machen.

Fangen wir mit den schlechten Nachrichten an: Jeder liebt eine gute Katastrophe. Beginnen wir mit dem Mirai-Botnet und was es über das Internet der Scheißdinge aussagt.

Kurz gesagt: eine ganze Reihe von IoT-Geräten haben im Wesentlichen keine Sicherheit und / oder werden mit öffentlich bekannten Standardpasswörtern eingesetzt und sind daher extrem leicht zu entführen. Böswillige Hacker können Malware namens Mirai problemlos nutzen, um eine enorme Anzahl solcher Geräte zu übernehmen, sie in ein Botnetz zu verwandeln und sie mit verteilten Denial-of-Service-Angriffen dazu zu verwenden, einzelne Standorte - oder einen wesentlichen Teil des gesamten Internets - herunterzufahren dh die Leitungen mit so viel eigenem Verkehr zu überfluten, dass sonst nichts durchkommt.

Es kann eigentlich nicht viel getan werden. Um Matthew Garretts Obduktion zu zitieren:

Ich habe etwas darüber geschrieben, warum dieses IoT-Botnet im Grunde eine Demonstration ist, die uns völlig zum Untergang verführt: //t.co/ta2JdnWgqT

- Matthew Garrett (@ mjg59) 22. Oktober 2016

Wir können die bereits kaputten Geräte nicht einfach reparieren, wir können nicht einfach verhindern, dass mehr defekte Geräte ausgeliefert werden, und wir können nicht einfach garantieren, dass wir zukünftige Geräte reparieren können, die kaputt sind. Die einzige Lösung, die ich überhaupt sehe, ist, ISPs zu verlangen, Leute abzuschalten, und das wird sehr schmerzhaft sein. Die harte Realität ist, dass dies mit ziemlicher Sicherheit nur die Spitze des Eisbergs ist, und die Dinge werden noch viel schlimmer werden, bevor sie besser werden.

Für eine noch besorgniserregendere Sicht auf das Thema, siehe Sicherheitslegende Bruce Schneiers Aufsatz "Jemand lernt, wie man das Internet herunterholt", geschrieben mit einem typischen Scharfsinn, vor der jüngsten Flut von Angriffen:

Jemand testet ausgiebig die Kernfunktionen der Unternehmen, die kritische Internetdienste bereitstellen

.

Es fühlt sich an wie ein militärischer Cyberbefehl eines Landes, der versucht, seine Waffen im Falle des Cyberkriegs zu kalibrieren

.

Was können wir dagegen tun? Nichts wirklich.

Dies ist keine neue Kategorie von Problemen. Schneier schrieb vor 18 Jahren einen weiteren berühmten Aufsatz mit dem Titel "Click Here To Down Down The Internet".

Während die Welt beginnt, Geschäfte über das Internet zu machen, das immer im Aufbau ist, müssen wir die wirklichen Bedrohungen für das System verstehen

.

Wir müssen Sicherheitsmängel beheben, wenn sie bekannt werden, und nicht nur dem Problem Lippenbekenntnis geben, bis die Presseberichterstattung überschlägt.

Wie die Franzosen sagen: Je mehr sich die Dinge ändern, desto mehr bleiben sie gleich. Der Unterschied besteht darin, dass im Gegensatz zu 1998 ein Großteil unseres Lebens heute im Internet stattfindet. (Sogar, oder vielleicht vor allem, die Politik: bedenken Sie die wichtige Rolle, die E-Mails, Twitter und gefälschte Facebook-Nachrichten bei den jüngsten US-Präsidentschaftswahlen spielten.)

Das populäre Image von Hackern hat sich in den letzten zwanzig Jahren kaum verändert: schattenhafte Superschurken, die mit ein paar Tastenanschlägen die globale Infrastruktur zerstören, in E-Mails eindringen oder Ihr Telefon und / oder Ihren Computer kapern können Tu darüber. Die Hauptänderung ist, dass die Superschurken heutzutage Militäruniformen tragen. Und in der Tat wird der Schutz unserer Backbone-Online-Infrastruktur in den nächsten Jahren sein

.

herausfordernd.

Aber die frustrierende Sache ist, dass es im Allgemeinen viel mehr gibt, was wir individuell und als Industrie tun könnten, um Sicherheitsmängel zu beheben, wenn sie bekannt werden. Behandle E-Mail-Anhänge, selbst solche, die offensichtlich von Leuten stammen, von denen du glaubst, sie zu kennen, als giftig, es sei denn, das Gegenteil ist bewiesen, besonders wenn du ein Aktivist, Journalist oder Politiker bist.

Alternativer Take: Unabhängig von Ihrem Privileg erfordert die Teilnahme an der Wahlpolitik, dass Sie opsec ernst nehmen.

- Jeremy Zimmer (@jeremyzimmer) 5. November 2016

Bevorzugung von Nachrichten mit End-to-End-Verschlüsselung statt E-Mails ohne. Ziehen Sie zumindest einen Passwort-Manager in Betracht. Und für die Liebe von Zod, aktivieren Sie die Zwei-Faktor-Authentifizierung, was erstaunlicherweise immer noch etwas umstrittener Rat ist. Die Sicherheitsindustrie befindet sich gerade in der Phase einer weiteren französischen Phase: "Das Beste ist der Feind des Guten".

Das Problem besteht darin, dass der "zweite Faktor", der bei der Zwei-Faktor-Authentifizierung verwendet wird, häufig aus Nummern besteht, die per SMS an Ihr Telefon gesendet werden, und dass SMS - wie Ihre Telefonnummer allgemein - an sich ziemlich unsicher ist. Das ist wahr. Aber für die große Mehrheit der Menschen ist die Zwei-Faktor-Authentifizierung per SMS eine enorme Verbesserung gegenüber dem Status quo.

Ich habe es schon einmal gesagt: SMS 2FA ist immer noch unglaublich wichtig. Gov-Darsteller können sich bereits Ihr Handy aneignen, sie benötigten dafür SMS 2FA nicht.

- Don A. Bailey (@DonAndrewBailey) 25. November 2016

Wenn Ihr Bedrohungsmodell Regierungen oder hochmotivierte Banden von Kryptowährungsdieben enthält, dann verwenden Sie natürlich etwas Sichereres. Ja, Ihre Anbieter sollten alle besser zu Google Authenticator wechseln, vorzugsweise bald. Aber wenn Ihr Leben in keinster Weise einem Bourne-Film ähnelt, machen Sie sich darüber keine Sorgen. Nimm mein Wort nicht, nimm das von Facebook CSO Alex Stamos:

//twitter.com/alexstamos/status/802010749811847168

Es stimmt, dass die fundamentale Internet-Infrastruktur momentan besonders anfällig für eine bestimmte Art von Angriffen ist, und es ist nicht klar, was wir kurzfristig dagegen tun können. Aber es ist auch wahr, dass ganze Kategorien von Sicherheitsalternativen mit mehr verbreiteter Verwendung von einfachen Fixes geklärt werden können: häufigeres Patchen von Software, besseres Passwortmanagement (für Menschen und IoT-Geräte), allgegenwärtige Zwei-Faktor-Authentifizierung und paranoide E-Mail- Anlagenvermeidung.

Hacker sind keine unbesiegbaren Superschurken. (Entschuldigung, meine Hackerfreunde.) Sie scheinen nur so zu sein, weil wir so lange schon so unnötig unnötig in Sicherheit waren. Es ist höchste Zeit, dass sich das ändert.