En el mundo interconectado de hoy, todo lo que se necesita es un error de seguridad para hacer que todo el mundo se derrumbe. ¿A quién mejor acudir en busca de consejo que el experto en seguridad Bruce Schneier?
Si tiene un interés pasajero en cuestiones de seguridad Alerta roja: 10 blogs de seguridad informática que debe seguir hoy Alerta roja: 10 blogs de seguridad informática que debe seguir hoy La seguridad es una parte crucial de la informática, y debe esforzarse por informarse y mantenerse actualizado . Deberá consultar estos diez blogs de seguridad y los expertos en seguridad que los escriben. Lea más, entonces seguramente ha encontrado los escritos de Bruce Schneier, un gurú de la seguridad de fama mundial que ha formado parte de numerosos comités gubernamentales, testificó ante el Congreso y es autor de 12 libros sobre cuestiones de seguridad hasta el momento, así como innumerables ensayos y trabajos académicos.
Después de escuchar sobre el libro más reciente de Schneier, Carry On: Sound Advice de Schneier on Security, decidimos que ya era hora de contactar a Bruce para obtener algunos buenos consejos sobre algunas de nuestras preocupaciones de privacidad y seguridad.
Bruce Schneier: buen consejo
En un mundo global lleno de espionaje digital internacional, malware y amenazas de virus, y hackers anónimos en cada esquina, puede ser un lugar aterrador para que cualquiera pueda navegar.
No temas, porque le pedimos a Bruce que nos proporcionara una guía sobre algunos de los problemas de seguridad más acuciantes. 5 Las cosas que aprendimos sobre la seguridad en línea en 2013 5 Las cosas que aprendimos sobre la seguridad en línea en 2013 Las amenazas se han vuelto más complejas y, lo que es peor, ahora viene de lugares que la mayoría nunca esperaría, como el gobierno. Aquí hay 5 lecciones difíciles que aprendimos sobre la seguridad en línea en 2013. Lea más hoy. Después de leer esta entrevista, al menos se irá con una mayor conciencia de cuáles son realmente las amenazas y qué puede hacer realmente para protegerse.
Entender el Teatro de Seguridad
MUO: Como consumidor, ¿cómo puedo distinguir el "teatro de seguridad" de una aplicación o servicio genuinamente seguro? (El término "teatro de seguridad" se eligió del término que acuñó en sus escritos anteriores sobre cómo las aplicaciones y los servicios afirman que la seguridad es un punto de venta).
Bruce: No puedes. En nuestra sociedad especializada y tecnológica, no se puede distinguir entre buenos productos y servicios en muchas áreas. No se puede distinguir una aeronave estructuralmente sana de una insegura. No puedes distinguir a un buen ingeniero de un charlatán. No se puede distinguir un buen producto farmacéutico del aceite de serpiente. Eso está bien, sin embargo. En nuestra sociedad, confiamos en que otros hagan esas determinaciones por nosotros. Confiamos en los programas de licencias y certificación del gobierno. Confiamos en revisar organizaciones como Consumers Union. Confiamos en las recomendaciones de nuestros amigos y colegas. Confiamos en los expertos Manténgase seguro en línea: Siga a 10 expertos en seguridad informática en Twitter Manténgase seguro en línea: Siga a 10 expertos en seguridad informática en Twitter Existen pasos simples que puede seguir para protegerse en línea. Usar un firewall y un software antivirus, crear contraseñas seguras, no dejar sus dispositivos desatendidos; estos son todos imprescindibles. Más allá de eso, se reduce ... Leer más.
La seguridad no es diferente. Como no podemos distinguir una aplicación segura o un servicio de TI de uno inseguro, debemos confiar en otras señales. Por supuesto, la seguridad de TI es tan complicada y rápida que esas señales nos fallan rutinariamente. Pero esa es la teoría. Decidimos en quién confiamos, y luego aceptamos las consecuencias de esa confianza.
El truco es crear buenos mecanismos de confianza.
¿Auditorías de seguridad DIY?
MUO: ¿Qué es una "auditoría de código" o una "auditoría de seguridad" y cómo funciona? Crypto.cat era de código abierto, lo que hizo que algunas personas sintieran que era seguro, pero resultó que nadie lo auditó. ¿Cómo puedo encontrar estas auditorías? ¿Hay formas en que pueda auditar mi propio uso diario de las herramientas, para asegurarme de que estoy usando cosas que realmente me protegen?
Bruce: una auditoría significa lo que piensas que significa: alguien más lo miró y lo pronunció bien. (O, al menos, encontró las partes defectuosas y le dijo a alguien que las arregle).
Las siguientes preguntas también son obvias: ¿quién lo auditó, cuán extensa fue la auditoría y por qué debería confiar en ellas? Si alguna vez ha tenido una inspección de la casa cuando compró una casa, comprende los problemas. En software, las auditorías de seguridad son amplias y costosas y, al final, no garantizan que el software sea seguro.
Las auditorías solo pueden encontrar problemas; nunca pueden probar la ausencia de problemas. Definitivamente puede auditar sus propias herramientas de software, suponiendo que tiene los conocimientos y la experiencia necesarios, el acceso al código del software y el tiempo. Es como ser su propio doctor o abogado. Pero no lo recomiendo
Solo vuela bajo el radar?
MUO: También existe la idea de que si utiliza servicios o precauciones de alta seguridad, de alguna manera actúa de manera sospechosa. Si esa idea tiene mérito, ¿deberíamos centrarnos menos en servicios más seguros y, en cambio, tratar de volar bajo el radar? ¿Cómo haríamos eso? ¿Qué tipo de comportamiento se considera sospechoso, es decir, qué le reporta una minoría? ¿Cuál es la mejor táctica para "quedarse abajo"?
Bruce: El problema con la idea de volar bajo el radar, o quedarse atrás, es que está basado en nociones pre-informáticas de la dificultad de notar a alguien. Cuando las personas eran las que miraban, era lógico no atraer su atención.
Pero las computadoras son diferentes. No están limitados por las nociones humanas de atención; pueden ver a todos al mismo tiempo. Entonces, si bien es cierto que el uso de la encriptación es algo que la NSA toma especialmente en cuenta, no usarlo no significa que notará menos. La mejor defensa es usar servicios seguros, incluso si puede ser una señal de alerta. Piénselo de esta manera: está proporcionando cobertura para aquellos que necesitan cifrado para mantenerse con vida.
Privacidad y criptografía
MUO: Vint Cerf dijo que la privacidad es una anomalía moderna y que no tenemos una expectativa razonable de privacidad en el futuro. ¿Estás de acuerdo con esto? ¿Es la privacidad una ilusión / anomalía moderna?
Bruce: por supuesto que no. La privacidad es una necesidad humana fundamental, y algo muy real. Tendremos la necesidad de privacidad en nuestras sociedades siempre que estén formadas por personas.
MUO: ¿Diría que nosotros, como sociedad, nos hemos vuelto complacientes con respecto a la criptografía de datos?
Bruce: Ciertamente, como diseñadores y creadores de servicios de TI nos hemos vuelto complacientes con la criptografía y la seguridad de los datos en general. Hemos construido una Internet que es vulnerable a la vigilancia masiva, no solo por la NSA sino por cualquier otra organización nacional de inteligencia en el planeta, grandes corporaciones y ciberdelincuentes. Hemos hecho esto por varias razones, que van desde "es más fácil" hasta "nos gusta obtener cosas gratis en Internet". Pero empezamos a darnos cuenta de que el precio que estamos pagando es en realidad bastante alto, así que con suerte haremos un esfuerzo para cambiar las cosas.
Mejorando su seguridad y privacidad
MUO: ¿Qué forma / combinación de contraseñas / autorización considera la más segura? ¿Qué "mejores prácticas" recomendaría para crear una contraseña alfanumérica?
Bruce: escribí sobre esto recientemente. Los detalles son dignos de leer.
Nota del autor: El artículo vinculado finalmente describe el "Esquema Schneier" que funciona para elegir contraseñas seguras. 7 formas de recuperar contraseñas que son tanto seguras como memorables. 7 formas de recuperar contraseñas que son tanto seguras como memorables Tener una contraseña diferente para cada servicio es una necesidad en el mundo en línea de hoy, pero hay una terrible debilidad en las contraseñas generadas al azar: es imposible recordarlas todas. Pero ¿cómo puede recordar ... Leer más, en realidad se cita de su propio artículo de 2008 sobre el tema.
"Mi consejo es tomar una oración y convertirla en una contraseña. Algo como 'Este pequeño cerdito salió al mercado' podría convertirse en 'tlpWENT2m'. Esa contraseña de nueve caracteres no estará en el diccionario de nadie. Por supuesto, no use este, porque he escrito sobre eso. Elige tu propia oración, algo personal ".
MUO: ¿Cómo puede el usuario promedio lidiar / lidiar mejor con las noticias de que su cuenta en un sitio web, banco o empresa multinacional de fama mundial se ha visto comprometida (estoy hablando de violaciones de datos del tipo Adobe / LinkedIn aquí, en lugar de una única cuenta bancaria incumplida a través de un fraude con tarjeta)? ¿Deberían mover su negocio? ¿Qué cree que llevará subrayar a los departamentos de seguridad de TI / datos que la revelación inmediata y completa es la mejor RP?
Bruce : Esto nos lleva de vuelta a la primera pregunta. No es mucho lo que los clientes podemos hacer con respecto a la seguridad de nuestros datos cuando están en manos de otras organizaciones. Simplemente debemos confiar en que van a proteger nuestros datos. Y cuando no lo hacen, cuando hay una gran brecha de seguridad, nuestra única respuesta posible es mover nuestros datos a otro lugar.
Pero 1) no sabemos quién es más seguro, y 2) no tenemos garantía de que nuestros datos se borren cuando nos mudemos. La única solución real aquí es la regulación. Al igual que muchas áreas en las que no tenemos la experiencia para evaluar y en las que debemos confiar, esperamos que el gobierno intervenga y proporcione un proceso confiable en el que podamos confiar.
En TI, se requerirá legislación para garantizar que las empresas aseguren nuestros datos de manera adecuada y nos informen cuando haya infracciones de seguridad.
Conclusión
Huelga decir que fue un honor sentarse y (prácticamente) discutir estos temas con Bruce Schneier. Si buscas más información de Bruce, asegúrate de revisar su último libro, Carry On, que promete la toma de Bruce en asuntos importantes de seguridad hoy como el bombardeo de la maratón de Boston, la vigilancia de la NSA y los ciberataques chinos. También puede obtener dosis regulares de la visión de Bruce en su blog.
Como puede ver en las respuestas anteriores, mantenerse seguro en un mundo inseguro no es exactamente fácil, pero usar las herramientas adecuadas, elegir cuidadosamente las empresas y los servicios en los que decide "confiar" y usar el sentido común con sus contraseñas es muy buen comienzo.