Nie musisz zamykać drzwi wejściowych, chyba że jesteś złodziejem.

To ten sam pomysł pod każdym względem.

Każda osoba musi podjąć rozsądne kroki, aby chronić siebie i swoją własność przed osobami, które mogłyby zaszkodzić jej lub jej własności, zgodnie z jej najlepszą oceną ryzyka.

Kupujesz zamek i zamykasz drzwi wejściowe, mieszkasz w mieście, w pobliżu setek tysięcy innych. Jest ku temu powód. I to jest ten sam powód, dla którego zamykasz swoje drzwi internetowe.

Moją pierwszą myślą jest pytanie: „Czy masz coś wartościowego, czego nie chcesz, aby ktoś inny miał?”

Jeśli odpowiedź brzmi „tak”, kontynuuj z „Czy robisz coś, aby to chronić?”

Stamtąd możesz zasugerować sposoby ochrony tego, co jest cenne (wykonać modelowanie zagrożeń, modelowanie ataków itp.).

Jak mówią prawa Mirandy: „wszystko, co powiesz, może zostać użyte przeciwko tobie w sądzie”. Zaraz po tym, jak policja skończy przyznawać ci prawa do Mirandy, powie "ale jeśli jesteś niewinny, dlaczego nie porozmawiasz z nami?". Prowadzi to do wielu osób skazanych za przestępstwa, ponieważ rzeczywiście jest to wykorzystywane przeciwko nim w sądzie. To świetny film w YouTube, który szczegółowo wyjaśnia, dlaczego nigdy nie należy rozmawiać z glinami, zwłaszcza , jeśli jesteś niewinny: http://www.youtube.com/watch?v=6wXkI4t7nuc

Jedną z bardziej powszechnych zbrodni w Ameryce jest „spisek”. Hakerzy często nie są skazani za faktyczne działania hakerskie, ale za spisek. Dzieje się tak, ponieważ policja ma dzienniki czatów, na których omawiają ataki. Nawet jeśli tak naprawdę nie jesteś zaangażowany, nie masz zamiaru brać udziału w ataku hakerskim, a nawet próbowałeś zniechęcić do tego swoich znajomych, możesz zostać skazany za „spisek”.

W różnych jurysdykcjach istnieje prawdopodobieństwo, że zostaniesz ukarany grzywną lub wycofany z działalności, jeśli nie zabezpieczysz swoich systemów. Konkretne przykłady:

• Przechowywanie danych osobowych klientów. W Wielkiej Brytanii, jeśli nie zabezpieczysz tych danych odpowiednio, możesz zostać ukarany grzywną.
• Jeśli masz do czynienia z danymi karty kredytowej i nie stosujesz odpowiednich zabezpieczeń, może się okazać, że VISA / Mastercard zabroni ci korzystania z ich usługi.
• Jeśli jesteś rejestrującym się w SEC i nie przestrzegasz wytycznych Sarbanes-Oxley, możesz zostać ukarany grzywną lub gorzej.
• itd. itp.

Warto przeczytanie @ Tate pytania z listopada 2010 r. na tematy, które pomogą rozpocząć rozmowy na temat bezpieczeństwa.

Proste przykłady:

1. poufne dane handlowe. Nie jest to nielegalne (a jeśli tak, powinieneś dostać inną pracę), ale może zapewnić konkurentom przewagę na rynku, jeśli poufność zostanie naruszona. Jeśli to nadal jest zbyt abstrakcyjne, rozważ osobiste skutki wyrzucenia z pracy za bycie osobą, która ujawniła tajemnice handlowe.

2. kradzież tożsamości. Ty nie możesz zrobić nic nielegalnego, ale czy ktoś inny może to zrobić w Twoim imieniu?

Bezpieczeństwo nie polega na robieniu czegoś nielegalnego, chodzi o to, aby ktoś inny zrobił coś nielegalnego (co będzie miało na Ciebie wpływ).

Jeśli nie szyfrujesz swoich połączeń telefonicznych, ktoś może wiedzieć, o czym wszyscy sprzedawcy robią i mogą próbować ukraść swoich klientów.Jeśli nie zniszczysz swoich dokumentów, ktoś może wykorzystać wszystkie te informacje do przeprowadzenia ataku socjotechnicznego na Twoją firmę, aby ukraść dane R&D, prototyp, projekty ...

Za każdym razem, gdy ktoś przynosi takie stwierdzenie, zawsze odpowiadam: „Nie możesz ufać, że wszyscy ludzie na świecie przestrzegają prawa”.

Rzeczywiście, jeśli wszyscy na świecie są obywatelami przestrzegającymi prawa, to Ty mogą zostawić otwarte drzwi wejściowe, ale jak wiemy, są przestępcy i cała masa innych osób, które mogą wejść do drzwi wejściowych / tylnych z różnymi motywami - kto wie, jaką krzywdę mogą wyrządzić.

Dlaczego przestrzegający prawa obywatele potrzebują silnego bezpieczeństwa?

Osoby muszą chronić swoje informacje, aby zachować kontrolę nad własnym życiem.

Chociaż to stwierdzenie brzmi ekstremalnie, myślę, że mogę to zilustrować kilkoma prostymi przykładami.

Przykład 1:

Tło: Jesteś byłym alkoholikiem. Chociaż nie pijesz już alkoholu, masz skłonność do bycia hojnym pod wpływem alkoholu. Zwykle nosisz przy sobie również znaczną ilość gotówki.

Mallory wie: jesteś byłym alkoholikiem, jesteś hojny, gdy jesteś pijany i zazwyczaj nosisz przy sobie znaczną ilość gotówki. Mallory podejrzewa również, że wystarczy dwa lub trzy drinki, aby się upić.

Scenariusz: spotykasz przyjaciół Alice i Boba oraz przyjaciela Boba Mallory'ego w restauracji, która również serwuje alkohol. Podczas twojego spotkania Mallory dostaje sodę na stół, potajemnie dodając niewykrywalną ilość alkoholu do twojego napoju. Alice i Bob wychodzą. Mallory wciąż opowiada smutną historię o swojej potrzebie gotówki. Dajesz Mallory gotówkę i nigdy więcej się z nią nie zobaczysz ani nie usłyszysz.

Przykład 2:

Tło: Jesteś urzędnikiem państwowym. W biurze, w którym pracujesz, obowiązuje surowa polityka, która zabrania pracownikom składania negatywnych oświadczeń publicznych wbrew obowiązującym przepisom. Masz 12-letnie dziecko.

Scenariusz: W popularnym serwisie społecznościowym obowiązuje zasada, że ​​dzieci w wieku poniżej 13 lat nie mogą mieć własnego konta. Decydujesz się udostępnić swoje konto w sieci społecznościowej dziecku, podając mu hasło. Twoje dziecko korzysta z Twojego konta w serwisie społecznościowym, aby publicznie publikować negatywne komentarze na temat określonego prawa. Lokalne media odkrywają publikację i poznają Twoje prawdziwe imię i nazwisko oraz miejsce pracy. Ze względu na relacje w mediach Twój przełożony uważa za konieczne rozwiązanie stosunku pracy.

Przykład 3:

Tło: Twoja chora babcia mieszka sama i ma bardzo niskie dochody. Aby pomóc jej zaoszczędzić na kosztach, zastąpisz jej tradycyjną usługę telefoniczną tańszą usługą VoIP. Twoja babcia nie ma komputera i całą swoją bankowość zajmuje się telefonem.

Scenariusz: przeciwnik monitoruje połączenia VoIP od dostawcy usług Twojej babci i kieruje połączenia, które są przeznaczone na numery telefonów banków. Twoja babcia dokonuje rutynowego przelewu ze swojego konta oszczędnościowego na rachunek bieżący, podając agentowi banku numery swojego konta i kod zabezpieczający. Przeciwnik nagrywa niezaszyfrowaną rozmowę telefoniczną Twojej babci i pobiera jej numery kont bankowych oraz kod zabezpieczający. Następnym razem, gdy babcia sprawdzi stan swoich kont, saldo jest zerowe, a karta kredytowa z dużym saldem została otwarta na jej nazwisko.

Błąd „nic do ukrycia”

Istnieją trzy dobrze znane elementy bezpieczeństwa: poufność (tajemnica), integralność (nie została uszkodzona, zmodyfikowana ani naruszona) i dostępność (możesz dostać to, kiedy chcesz).

Argument „nic do ukrycia” działa tylko przeciwko poufności. Istnieją oczywiste przypadki, w których osoba chce, aby informacja była tajna i nie była łatwo dostępna dla każdego, kto może jej chcieć. Najłatwiejszym przykładem może być numer PIN karty bankowej. Każdy, kto ma Twoją kartę bankową i zna Twój PIN, może ukraść Twoje pieniądze.

Innym oczywistym przykładem są tradycyjne zabezpieczenia, takie jak kody alarmowe, sprawdzanie numerów kont oraz kombinacje zamków i sejfów. Zatem argument „nic do ukrycia” w rzeczywistości dotyczy informacji w działaniach, które same w sobie nie mają oczywistej wartości wewnętrznej.

Weźmy przykład rozmowy telefonicznej.

Przyjęcie niespodzianka

Alicja ma znajomego Boba, który lubi przyjęcia urodzinowe-niespodzianki. Inni przyjaciele Boba to Carl i Evan. Carl lubi podsłuchiwać rozmowy telefoniczne. Alice dzwoni do Evana, żeby zaplanować przyjęcie urodzinowe-niespodziankę dla Boba i Carla podsłuchuje rozmowę. Przed imprezą Carl opowiada Bobowi o planach przyjęcia. Wartość przyjemności, jaką miałby Bob, gdyby Carl utrzymywał imprezę w tajemnicy, jest teraz utracona. Ujawnienie przez Carla tajemnicy między Alice i Evanem ma negatywne konsekwencje dla Boba, który nie był stroną sekretu.

Typowe argumenty „nic do ukrycia” zwykle sugerują, że tajemnica kryje coś złego (nielegalnego, niemoralnego lub zawstydzającego) i że ujawnienie tajemnicy ma negatywne konsekwencje dla przynajmniej jednego ze strażników . Niektóre argumenty „nic do ukrycia” dowodzą, że ujawnienie tajemnicy nikomu nie zaszkodzi. Poprzedni przykład pokazuje, że nie zawsze tak jest.

Spójrzmy teraz na przykład anonimowości.

Anonimowość

Alicja jest zamożną osobą, która zasiada w radzie doradców uniwersytetu. Uczelnia ma trudności finansowe i może przyjmować prywatne darowizny. Alicja chce przekazać uniwersytetowi anonimową darowiznę. Alice dyskretnie omawia możliwość anonimowej darowizny ze skarbem uniwersytetu Bob. Carol jest kolejnym członkiem rady uniwersytetu, który złośliwie stara się zmniejszyć wpływ Alice w zarządzie. Bob ujawnia Carol dyskusję Alice. Carol mówi pozostałym członkom zarządu, z wyjątkiem Alice, że Alice próbuje zdobyć przychylność skarbu państwa bez wiedzy zarządu, dokonując dużej anonimowej darowizny. W konsekwencji Alice wnosi znacznie mniejszy wkład publiczny.

Argument „nic do ukrycia” przeciwko anonimowości oznacza, że ​​osoba, która chce pozostać anonimowa, musi to robić, ponieważ działanie, które podejmuje, gdy jest anonimowy, jest złym działaniem (nielegalnym, niemoralnym lub żenującym). Anonimowe przekazanie pieniędzy potrzebującym uniwersytetom trudno określić jako złe. Ujawnienie tajemnicy w tym przypadku zaszkodziło uczelni i potencjalnie Alicji. Ten przykład ilustruje również część problemu z nadmierną otwartością, możliwością błędnej interpretacji informacji lub działań przez osoby trzecie.

Być może ty możesz pomyśleć, że nie masz nic do ukrycia, a może faktycznie nie zrobiłeś niczego, co jest nielegalne, niemoralne lub zawstydzające (dzięki dla @thisjosh za kategorie „coś do ukrycia” - tam dobre wyjaśnienie). Taka jest jednak Twoja opinia . Opinie innych mogą się nie zgadzać. Ci inni mogą być w stanie wykorzystać twój brak bezpieczeństwa, aby zdobyć informacje, przekonać ludzi o tym samym umyśle co oni, że zrobiłeś coś nagannego. Może to, niezależnie od tego, czy zgadzasz się z ich stanowiskiem, czy nie, mieć niekorzystny wpływ na Twoje życie, od drobnych niedogodności po ekstremalną tragedię.

Ponadto, nawet jeśli wszyscy ludzie na świecie obecnie się z tym zgadzają Twoje stanowisko w kwestii tego, co jest zgodne z prawem, moralne i przyjemne, opinie się zmieniają - podobnie jak prawa, a w niektórych przypadkach nawet powszechnie akceptowane kodeksy etyczne. To, co teraz robisz, co wydaje się być sprawiedliwe, uczciwe iw pełni zgodne z twoimi prawami, może później zostać uznane za przestępstwo lub obrazę innych. A ci inni mogą mieć takie uprawnienia, aby pisać prawa przeciwko tym rzeczom lub wpływać na opinię publiczną, aby się im sprzeciwiać. Wtedy ujawnienie twoich przeszłych działań (lub tych trwających, jeśli kontynuujesz w oparciu o własne przekonania) może rzeczywiście prowadzić do zażenowania, a nawet więzienia lub gorzej.

Najważniejsze jest to. Jeśli nie dbasz o bezpieczeństwo w zakresie ochrony swojej prywatności i anonimowości, skutecznie ufasz, że wszyscy ludzie całego świata (przyjaciele, rodzina, rządy i ogół społeczeństwa - nie wspominając o tych, którzy > może faktycznie chcieć Cię dopaść), tak jak jest teraz i jak będzie w przyszłości , będzie postępować z Twoimi danymi osobowymi i danymi tożsamości w sposób, który odpowiada Twoim najlepszym interesom . Czy wierzysz, że świat zrobi to teraz? Czy wierzysz, że świat za 20 lat będzie taki sam?

Wiele odpowiedzi na temat tego, dlaczego bezpieczeństwo dotyczy dostawców usług - jednak dotyczy to wszystkich stron zaangażowanych w internet.

Czy jesteś bez winy, jeśli w wyniku niewystarczające zabezpieczenia na twoim komputerze, jest on rootkowany i rekrutowany do armii zombie? Co się stanie, jeśli ktoś użyje twojego routera Wi-Fi do fałszywych transakcji na internetowym koncie bankowym? AFAICS, wygląda na to, że w większości jurysdykcji jesteś.

Co dziwne, większość jurysdykcji źle patrzy, jak zostawiasz naładowaną broń w pobliżu domu, a nie w zamkniętej szafce.

Podobnie, jeśli prowadzisz witrynę, która nie przetwarza danych dostarczonych przez klienta, a ta witryna jest zagrożona, może być używana do celów, których nigdy nie zamierzałeś.

I to przed rozważeniem scenariusza Marthy Stewart.

To pokazuje fundamentalne nieporozumienie dotyczące bezpieczeństwa.

Oczekuję, że bezpieczeństwo (wszelkiego rodzaju) będzie chronić moje „rzeczy” przed wszystkim poza określonymi granicami (zapora, ogrodzenie, drzwi). Stwierdzenie, że jest on używany tylko do trzymania nielegalnych działań wewnątrz, jest problemem fritzl-eq.

Odpowiedź polemiczna - postaw przeciwnika w defensywie ...

„Czy chcesz powiedzieć, że powinniśmy również umieścić w Internecie całą naszą tożsamość i informacje finansowe?”

Łagodniejszą odpowiedzią (gdy nie chcesz zepsuć relacji osobistych / zawodowych) byłoby zażartowanie z tego (by tak rzec, aby złagodzić dźgnięcie) ...

„Jesteś najlepszym przyjacielem złodzieja tożsamości!”

Lub, gdy wyrażasz tę myśl bardziej formalnie i przy minimalnym ryzyku obrażenia (np. do swojego szefa) ...

„Możemy narazić się na znaczną odpowiedzialność, jeśli nasze dane nie są kompleksowo zabezpieczone przy użyciu silnych, ale opłacalnych rozwiązań szyfrujących.”

LUB

„Możemy naruszyć oczekujące przepisy nakazujące stosowanie technologii szyfrowania do zabezpieczania poufnych danych klientów”.

Powiedziałbym „sprawiasz, że reszta z nas jest mniej bezpieczna, będąc idiotą”, i kontynuowałem, odnosząc się do fiasku LastPass, w którym mieli małe naruszenie, które nie oznaczałoby wzgórza fasoli, gdyby wszyscy dość silne hasło. Ale ponieważ kilka bozo miało słownikowe słowa, wszyscy byliśmy (nieznacznie) narażeni na ryzyko.

Jeśli więc źli ludzie dostali bazę danych, a użytkownicy mieli słabe hasła główne, istnieje możliwość zrobienia przez jakiś czas atak brutalnej siły. I tak błądząc po stronie ostrożności, faceci z LastPass powiedzieli, w porządku, po prostu zmień swoje główne hasło. Przepraszamy za niedogodności. Nie musisz zmieniać żadnego innego hasła do swojej witryny, wystarczy jedno hasło główne. W ten sposób nic, co mogłoby zostać zabrane, jeśli cokolwiek było, i nie wiemy, że cokolwiek zostało zabrane, nic, co mogłoby zostać zabrane, nadal byłoby narażone nawet na atak siłowy.

Od: https://www.grc.com/sn/sn-301.htm

Zamiast wklejać tutaj całą transkrypcję, jeśli jesteś zainteresowany, może przeczytać więcej na ten temat lub posłuchać podcastu.

Pomysł, który wziąłem z dyskusji, był taki, że gdyby wszyscy mieli silne hasło główne, atak brutalnej siły byłby niewykonalny . Z punktu widzenia teorii kryptograficznej nie mam umiejętności, aby wyjaśnić, dlaczego tak jest, ale jeśli sprawdzisz łącze, informacje mogą tam być.

Możesz zapytać: „Dlaczego podczas korzystania z konta bankowego masz kod PIN, skoro wystarczy podać swoje imię i nazwisko oraz numer konta?”

Odpowiedziałbym, że jest to takie samo (błędne) rozumowanie, jak:

„Nie masz nic do ukrycia, prawda?”

który jest używany przez policję do oszukiwania Twojej własnej zgody na nielegalne działania policji przeciwko Tobie.

Obejrzyj na przykład: Jak odmówić przeszukania przez policję

Jak powiedział Edward Snowden ( wideo): „Twierdzenie, że nie obchodzi Cię prawo do prywatności, ponieważ nie masz nic do ukrycia, nie różni się niczym od powiedzenia, że ​​Cię to nie obchodzi o wolności słowa, ponieważ nie masz nic do powiedzenia ”.

Jako przestrzegający prawa obywatel zazwyczaj zawierasz umowy z innymi ludźmi, w których obiecujesz dochować tajemnic innych ludzi.

Większość pracowników pozwala swoim pracownikom podpisywać formularze, na których pracownik jest odpowiedzialny za ochronę pewnych tajemnic przed pracodawcą. Gdy pracownik nie wypełnia tego obowiązku, przetwarzając informacje związane ze swoim pracodawcą w niezabezpieczony sposób, nie jest on obywatelem przestrzegającym prawa .

W Europie RODO nakłada na wiele osób obowiązek ochrony informacji innych osób, do których mają dostęp. Być obywatelem przestrzegającym prawa w Europie bez dbania o bezpieczeństwo może być niemożliwe, ponieważ przepisy RODO są łatwe do złamania. Dla wielu profesjonalistów w USA istnieją również przepisy, które wymagają od nich ochrony informacji .

Oprócz wymogów prawnych dotyczących zachowania tajemnicy istnieją również zobowiązania społeczne dotyczące ochrony tajemnic twoich przyjaciół i rodziny. Jeśli naruszysz tajemnice swoich przyjaciół i rodziny, możesz nie naruszyć prawa, ale naruszasz normy etyczne.