Compartir:
El experto en seguridad Bruce Schneier sobre contraseñas, privacidad y confianza
En el mundo interconectado de hoy, todo lo que necesita es un error de seguridad para hacer que todo su mundo se derrumbe. ¿Quién es mejor para pedir consejo que el experto en seguridad Bruce Schneier??
Si tiene un interés pasajero en cuestiones de seguridad Alerta roja: 10 blogs de seguridad informática que debe seguir hoy Alerta roja: 10 blogs de seguridad informática que debe seguir hoy La seguridad es una parte crucial de la informática, y debe esforzarse por educarse y mantenerse actualizado . Usted querrá revisar estos diez blogs de seguridad y los expertos en seguridad que los escriben. Lea más, entonces seguramente ha encontrado los escritos de Bruce Schneier, un gurú de la seguridad de renombre mundial que ha servido en numerosos comités gubernamentales, testificó ante el Congreso y es autor de 12 libros sobre temas de seguridad hasta el momento, así como Innumerables ensayos y trabajos académicos..
Después de escuchar sobre el libro más nuevo de Schneier, Continuar: consejos de Schneier sobre seguridad, decidimos que ya era hora de contactar a Bruce para obtener algunos consejos sobre algunos de nuestros problemas de privacidad y seguridad..
Bruce Schneier - Consejo de sonido
En un mundo global lleno de espionaje digital internacional, amenazas de malware y virus, y piratas informáticos anónimos en cada esquina, puede ser un lugar muy aterrador para que cualquiera pueda navegar..
No tenga miedo, ya que le pedimos a Bruce que nos brindara orientación sobre algunos de los problemas de seguridad más apremiantes 5 cosas que aprendimos sobre la seguridad en línea en 2013 5 cosas que aprendimos sobre la seguridad en línea en 2013 Las amenazas se han vuelto más complejas y, peor aún, son ahora viene de lugares que la mayoría nunca esperaría, como el gobierno. Aquí hay 5 lecciones difíciles que aprendimos sobre seguridad en línea en 2013. Lea más hoy. Después de leer esta entrevista, al menos se irá con una mayor conciencia de cuáles son realmente las amenazas y lo que realmente puede hacer para protegerse..
Entendiendo el teatro de seguridad
MUO: Como consumidor, ¿cómo puedo distinguir “teatro de seguridad” ¿De una aplicación o servicio realmente seguro? (El termino “teatro de seguridad” fue elegido del término que usted acuñó en sus escritos anteriores acerca de cómo las aplicaciones y los servicios reclaman la seguridad como un punto de venta.)
Bruce: Usted no puede En nuestra sociedad especializada y tecnológica, no se puede distinguir entre productos y servicios malos en muchas áreas. No se puede distinguir una aeronave estructuralmente sana de una insegura. No puedes decirle a un buen ingeniero de un charlatán. No se puede distinguir un buen producto farmacéutico del aceite de serpiente. Eso está bien, sin embargo. En nuestra sociedad, confiamos en otros para que nos hagan esas determinaciones. Confiamos en los programas de licencias y certificación del gobierno. Confiamos en organizaciones de revisión como Consumers Union. Confiamos en las recomendaciones de nuestros amigos y colegas. Confiamos en los expertos Manténgase seguro en línea: siga a 10 expertos en seguridad informática en Twitter Manténgase seguro en línea: siga a 10 expertos en seguridad informática en Twitter Existen pasos sencillos que puede seguir para protegerse en línea. Usar un firewall y software antivirus, crear contraseñas seguras, no dejar sus dispositivos desatendidos; estos son todos los mostos absolutos. Más allá de eso se reduce ... Leer más .
La seguridad no es diferente. Debido a que no podemos distinguir una aplicación segura o un servicio de TI de uno inseguro, tenemos que confiar en otras señales. Por supuesto, la seguridad de TI es tan complicada y rápida que esas señales nos fallan rutinariamente. Pero eso es teoría. Decidimos en quién confiamos, y luego aceptamos las consecuencias de esa confianza..
El truco es crear buenos mecanismos de confianza..
Auditorías de seguridad de bricolaje?
MUO: Que es un “auditoría de código” o un “auditoria de seguridad” ¿Y, cómo funciona? Crypto.cat era de código abierto, lo que hizo que algunas personas se sintieran seguras, pero resultó que nadie lo auditó. ¿Cómo puedo encontrar estas auditorías? ¿Hay alguna forma de auditar mi propio uso diario de las herramientas para asegurarme de que utilizo cosas que realmente me protegen??
Bruce: Una auditoría significa lo que crees que significa: alguien más lo miró y lo pronunció bien. (O, al menos, encontró las partes malas y le dijo a alguien que las arreglara).
Las siguientes preguntas también son obvias: ¿quién lo auditó, qué tan extensa fue la auditoría y por qué debería confiar en ellas? Si alguna vez tuvo una inspección de la casa cuando compró una casa, comprende los problemas. En software, las buenas auditorías de seguridad son completas y costosas y, al final, no garantizan que el software sea seguro.
Las auditorías solo pueden encontrar problemas; Nunca podrán probar la ausencia de problemas. Definitivamente, puede auditar sus propias herramientas de software, suponiendo que tenga los conocimientos y la experiencia necesarios, el acceso al código de software y la hora. Es como ser tu propio doctor o abogado. Pero no lo recomiendo..
Sólo vuela bajo el radar?
MUO: También existe la idea de que si utiliza servicios o precauciones altamente seguros, de alguna manera está actuando sospechoso. Si esa idea tiene mérito, ¿deberíamos centrarnos menos en servicios más seguros y, en cambio, tratar de volar bajo el radar? ¿Cómo haríamos eso? ¿Qué tipo de comportamiento se considera sospechoso, es decir, qué le da un informe minoritario? ¿Cuál es la mejor táctica para “humillar”?
Bruce: El problema con la noción de volar por debajo del radar, o estar bajo, es que se basa en nociones previas a la computadora de la dificultad de notar a alguien. Cuando las personas eran las que observaban, tenía sentido no llamar la atención..
Pero las computadoras son diferentes. No están limitados por las nociones humanas de atención; Pueden ver a todos al mismo tiempo. Entonces, si bien puede ser cierto que el uso de la encriptación es algo de lo que la NSA toma una nota especial, no usarla no significa que se notará menos. La mejor defensa es usar servicios seguros, incluso si puede ser una bandera roja. Piénselo de esta manera: está proporcionando cobertura para aquellos que necesitan cifrado para mantenerse con vida..
Privacidad y criptografía
MUO: Vint Cerf dijo que la privacidad es una anomalía moderna y que no tenemos una expectativa razonable de privacidad en el futuro. ¿Estás de acuerdo con esto? ¿Es la privacidad una ilusión / anomalía moderna??
Bruce: Por supuesto no. La privacidad es una necesidad humana fundamental, y algo que es muy real. Tendremos una necesidad de privacidad en nuestras sociedades siempre y cuando estén formadas por personas..
MUO: ¿Diría que nosotros, como sociedad, nos hemos vuelto complacientes con la criptografía de datos??
Bruce: Ciertamente, como diseñadores y constructores de servicios de TI nos hemos vuelto complacientes con la criptografía y la seguridad de los datos en general. Hemos construido un Internet que es vulnerable a la vigilancia masiva, no solo por parte de la NSA sino también por todas las demás organizaciones de inteligencia nacional en el planeta, grandes corporaciones y ciberdelincuentes. Hemos hecho esto por una variedad de razones, que van desde “así es más fácil” a “Nos gusta conseguir cosas gratis en internet..” Pero estamos empezando a darnos cuenta de que el precio que estamos pagando es bastante alto, así que esperamos hacer un esfuerzo para cambiar las cosas..
Mejora tu seguridad y privacidad
MUO: ¿Qué forma / combinación de contraseñas / autorización considera más segura? Qué “mejores prácticas” ¿Recomendaría usted para crear una contraseña alfanumérica??
Bruce: Escribí sobre esto recientemente. Vale la pena leer los detalles..
Nota del autor: El artículo enlazado finalmente describe la “Esquema de Schneier” que funciona para elegir contraseñas seguras 7 maneras de crear contraseñas que son seguras y memorables 7 maneras de inventar contraseñas que son seguras y memorables Tener una contraseña diferente para cada servicio es una necesidad en el mundo en línea de hoy, pero existe una terrible debilidad a contraseñas generadas aleatoriamente: es imposible recordarlas todas. Pero, ¿cómo puede usted recordar ... Leer más, en realidad citado de su propio artículo de 2008 sobre el tema.
“Mi consejo es tomar una oración y convertirla en una contraseña. Algo como "Este pequeño cerdito salió al mercado" podría convertirse en "tlpWENT2m". Esa contraseña de nueve caracteres no estará en el diccionario de nadie. Por supuesto, no uses este, porque he escrito sobre eso. Elige tu propia frase-algo personal.”
MUO: ¿Cómo puede el usuario promedio lidiar con las noticias de que su cuenta con un sitio web, banco o compañía multinacional de fama mundial se ha visto comprometida (estoy hablando de violaciones de datos del tipo Adobe / LinkedIn aquí, en lugar de un solo banco)? cuenta violada por fraude de tarjeta)? ¿Deberían mover su negocio? ¿Qué cree que llevará a subrayar a los departamentos de TI / seguridad de datos que la divulgación completa e inmediata es la mejor PR??
Bruce: Esto nos lleva de nuevo a la primera pregunta. No es mucho lo que nosotros, como clientes, podemos hacer con respecto a la seguridad de nuestros datos cuando está en manos de otras organizaciones. Simplemente debemos confiar en que protegerán nuestros datos. Y cuando no lo hacen, cuando hay una gran brecha de seguridad, nuestra única respuesta posible es trasladar nuestros datos a otro lugar..
Pero 1) no sabemos quién es más seguro, y 2) no tenemos ninguna garantía de que nuestros datos se borrarán cuando nos mudemos. La única solución real aquí es la regulación. Al igual que en muchas áreas en las que no tenemos la experiencia para evaluar, y estamos obligados a confiar, esperamos que el gobierno intervenga y proporcione un proceso confiable en el que podamos confiar..
En TI, se requerirá legislación para garantizar que las empresas protejan nuestros datos adecuadamente e informarnos cuando haya violaciones de seguridad..
Conclusión
No hace falta decir que fue un honor sentarse y discutir (virtualmente) estos temas con Bruce Schneier. Si busca aún más información de Bruce, asegúrese de revisar su último libro, Carry On, que promete que Bruce asumirá importantes problemas de seguridad hoy en día, como el atentado de la Maratón de Boston, la vigilancia de la NSA y los ciberataques chinos. También puede obtener dosis regulares de la percepción de Bruce en su blog..
Como se puede ver en las respuestas anteriores, mantenerse seguro en un mundo inseguro no es exactamente fácil, pero utilizando las herramientas adecuadas, elija cuidadosamente las empresas y los servicios que decida. “confianza”, y usar el sentido común con sus contraseñas es un muy buen comienzo.
Explorar más sobre: Seguridad en línea, Contraseña.