Bagaimana untuk mengamankan perusahaan Anda terhadap NSA - terinspirasi hacker
News bahwa NSA telah efektif menegasikan keamanan di Internet adalah suram - bahkan mengerikan . Hal ini juga harus meninggalkan Anda dan perusahaan Anda khawatir bahwa teknik yang sama mungkin suatu hari digunakan oleh individu dan organisasi lainnya . Jika Anda tidak memakai topi kertas timah kemarin , Anda mungkin mempertimbangkan untuk mengenakan tutup kepala baru hari ini .
Sementara itu menjadi semakin jelas NSA bisa mendapatkan mata ke apa pun yang suka , ada juga banyak kekhawatiran bahwa trik kotor yang mungkin telah membuka pintu bagi kelompok lain untuk mengintip . Wahyu bahwa kecerdasan NSA yang diturunkan itu ( is! ) yang bocor ke DEA , misalnya, tentu tidak bisa menginspirasi banyak keyakinan bahwa NSA adalah menjaga ibu pada " Bullrun " rahasia , sebagai awalnya covererd di The Guardian dan New York Times .Laporan The Guardian mengenai hal ini mengutip Brouhaha terbaru Christopher Sohoian , analis kebijakan senior di ACLU , mengatakan :
Backdoors mengekspos semua pengguna dari sistem backdoored , bukan hanya target badan intelijen , untuk risiko tinggi kompromi data. Hal ini karena masuknya backdoors pada produk perangkat lunak , terutama mereka yang dapat digunakan untuk mendapatkan terenkripsi komunikasi atau data, secara signifikan meningkatkan kesulitan merancang suatu produk yang aman .Dalam laporan yang sama , mantan US Department of Justice jaksa Stephanie Pell dikutip mengatakan :[ An ] terenkripsi sistem komunikasi dengan pintu belakang lawful interception jauh lebih mungkin untuk menghasilkan bencana hilangnya komunikasi kerahasiaan daripada sistem yang tidak pernah memiliki akses ke komunikasi terenkripsi dari penggunanya .
Jadi humor saya sejenak , tali pada topi kertas timah Anda , dan mari kita lihat langkah sederhana perusahaan Anda dapat dilakukan untuk meminimalkan kemungkinan mendapatkan hacked - tidak hanya oleh NSA , tetapi dengan organisasi lain dengan sarana untuk bersantai NSA Gordian knot . ( Aku ragu untuk menunjuk ke Rusia cakupan TV - Novosti dari Kebocoran Parabon , yang dapat ditenun sepenuhnya dari kertas timah . )
Titik mendasar , menurut keamanan guru Bruce Schneier , berjalan seperti ini matematika yang baik , tetapi matematika tidak memiliki lembaga Kode memiliki lembaga , dan kode telah ditumbangkan .
Schneier telah bekerja sama dengan The Guardian , akan melalui ratusan dokumen NSA rahasia yang diberikan oleh whistleblower Edward Snowden . Dalam The Guardian ia menjelaskan bagaimana untuk tetap aman terhadap pengawasan NSA . Rekomendasi -Nya meliputi :
Bersembunyi di jaringan dengan menggunakan Tor .
Mengenkripsi komunikasi dengan TLS atau IPsec .Jangan menggunakan perangkat lunak enkripsi dari vendor besar , melainkan menggunakan enkripsi public - domain yang kompatibel dengan paket enkripsi public- domain lainnya .
Schneier khusus menyebutkan TrueCrypt , GnuPG , Lingkaran Diam (yang baru-baru ini menutup layanan email Mail Diam dan merilis sebuah aplikasi messaging aman untuk perangkat Android ) , ekor , OTR CypherPunk dan BleachBit untuk menyeka berkas .Kami tidak secara spesifik tahu apakah NSA telah menemukan cara untuk memotong SSL atau AES , meskipun komentar Snowden itu dua bulan lalu menawarkan beberapa harapan :
Enkripsi bekerja . Benar menerapkan sistem kripto yang kuat adalah salah satu dari beberapa hal yang dapat Anda andalkan . Sayangnya , keamanan endpoint begitu terrifically lemah sehingga NSA sering dapat menemukan cara di sekitarnya .Sementara Snowden tidak secara khusus merekomendasikan produk apapun , pernyataannya terdengar bagi saya seperti dukungan untuk TrueCrypt ini enkripsi AES-256 dan GPG .
Menggunakan produk dengan " diterapkan dengan benar kuat kripto " melemparkan kentang panas ke endpoint . Ini akan menjadi bijaksana untuk menganggap bahwa beberapa penyedia email online utama telah dikompromikan - mungkin dengan cara licik , termasuk NSA mol di posisi kunci . Ini juga akan bijaksana untuk menganggap bahwa penyimpanan online dan perusahaan hosting rentan , tapi kami sudah tahu itu adalah kasus dengan wahyu PRISM .
Ini juga wajar untuk menganggap bahwa virtual private network perusahaan Anda tidak begitu pribadi setelah semua . Dan SSL kunci Anda telah mengajar pengguna untuk memeriksa mungkin tidak seperti terkunci seperti dulu muncul Peringatan itu dikeluarkan oleh Ladar Levison , yang menutup layanan email Lavabit bulan lalu masih terngiang di telinga saya:
Saya telah dipaksa untuk membuat keputusan yang sulit : untuk menjadi terlibat dalam kejahatan terhadap rakyat Amerika atau berjalan jauh dari hampir sepuluh tahun kerja keras dengan menutup Lavabit ... Pengalaman ini telah mengajarkan saya satu pelajaran yang sangat penting : tanpa tindakan kongres atau preseden peradilan yang kuat , saya akan merekomendasikan _strongly_ terhadap siapa pun mempercayai data yang pribadi mereka untuk sebuah perusahaan dengan hubungan fisik ke Amerika Serikat .Ini saran bahwa setiap perusahaan - dalam atau di luar Amerika Serikat - harus mengambil hati . Menghancurkan konsekuensi adalah bahwa perusahaan bahkan tanpa ikatan fisik ke Amerika Serikat mungkin dikompromikan , juga.
News bahwa NSA telah efektif menegasikan keamanan di Internet adalah suram - bahkan mengerikan . Hal ini juga harus meninggalkan Anda dan perusahaan Anda khawatir bahwa teknik yang sama mungkin suatu hari digunakan oleh individu dan organisasi lainnya . Jika Anda tidak memakai topi kertas timah kemarin , Anda mungkin mempertimbangkan untuk mengenakan tutup kepala baru hari ini .
Sementara itu menjadi semakin jelas NSA bisa mendapatkan mata ke apa pun yang suka , ada juga banyak kekhawatiran bahwa trik kotor yang mungkin telah membuka pintu bagi kelompok lain untuk mengintip . Wahyu bahwa kecerdasan NSA yang diturunkan itu ( is! ) yang bocor ke DEA , misalnya, tentu tidak bisa menginspirasi banyak keyakinan bahwa NSA adalah menjaga ibu pada " Bullrun " rahasia , sebagai awalnya covererd di The Guardian dan New York Times .Laporan The Guardian mengenai hal ini mengutip Brouhaha terbaru Christopher Sohoian , analis kebijakan senior di ACLU , mengatakan :
Backdoors mengekspos semua pengguna dari sistem backdoored , bukan hanya target badan intelijen , untuk risiko tinggi kompromi data. Hal ini karena masuknya backdoors pada produk perangkat lunak , terutama mereka yang dapat digunakan untuk mendapatkan terenkripsi komunikasi atau data, secara signifikan meningkatkan kesulitan merancang suatu produk yang aman .Dalam laporan yang sama , mantan US Department of Justice jaksa Stephanie Pell dikutip mengatakan :[ An ] terenkripsi sistem komunikasi dengan pintu belakang lawful interception jauh lebih mungkin untuk menghasilkan bencana hilangnya komunikasi kerahasiaan daripada sistem yang tidak pernah memiliki akses ke komunikasi terenkripsi dari penggunanya .
Jadi humor saya sejenak , tali pada topi kertas timah Anda , dan mari kita lihat langkah sederhana perusahaan Anda dapat dilakukan untuk meminimalkan kemungkinan mendapatkan hacked - tidak hanya oleh NSA , tetapi dengan organisasi lain dengan sarana untuk bersantai NSA Gordian knot . ( Aku ragu untuk menunjuk ke Rusia cakupan TV - Novosti dari Kebocoran Parabon , yang dapat ditenun sepenuhnya dari kertas timah . )
Titik mendasar , menurut keamanan guru Bruce Schneier , berjalan seperti ini matematika yang baik , tetapi matematika tidak memiliki lembaga Kode memiliki lembaga , dan kode telah ditumbangkan .
Schneier telah bekerja sama dengan The Guardian , akan melalui ratusan dokumen NSA rahasia yang diberikan oleh whistleblower Edward Snowden . Dalam The Guardian ia menjelaskan bagaimana untuk tetap aman terhadap pengawasan NSA . Rekomendasi -Nya meliputi :
Bersembunyi di jaringan dengan menggunakan Tor .
Mengenkripsi komunikasi dengan TLS atau IPsec .Jangan menggunakan perangkat lunak enkripsi dari vendor besar , melainkan menggunakan enkripsi public - domain yang kompatibel dengan paket enkripsi public- domain lainnya .
Schneier khusus menyebutkan TrueCrypt , GnuPG , Lingkaran Diam (yang baru-baru ini menutup layanan email Mail Diam dan merilis sebuah aplikasi messaging aman untuk perangkat Android ) , ekor , OTR CypherPunk dan BleachBit untuk menyeka berkas .Kami tidak secara spesifik tahu apakah NSA telah menemukan cara untuk memotong SSL atau AES , meskipun komentar Snowden itu dua bulan lalu menawarkan beberapa harapan :
Enkripsi bekerja . Benar menerapkan sistem kripto yang kuat adalah salah satu dari beberapa hal yang dapat Anda andalkan . Sayangnya , keamanan endpoint begitu terrifically lemah sehingga NSA sering dapat menemukan cara di sekitarnya .Sementara Snowden tidak secara khusus merekomendasikan produk apapun , pernyataannya terdengar bagi saya seperti dukungan untuk TrueCrypt ini enkripsi AES-256 dan GPG .
Menggunakan produk dengan " diterapkan dengan benar kuat kripto " melemparkan kentang panas ke endpoint . Ini akan menjadi bijaksana untuk menganggap bahwa beberapa penyedia email online utama telah dikompromikan - mungkin dengan cara licik , termasuk NSA mol di posisi kunci . Ini juga akan bijaksana untuk menganggap bahwa penyimpanan online dan perusahaan hosting rentan , tapi kami sudah tahu itu adalah kasus dengan wahyu PRISM .
Ini juga wajar untuk menganggap bahwa virtual private network perusahaan Anda tidak begitu pribadi setelah semua . Dan SSL kunci Anda telah mengajar pengguna untuk memeriksa mungkin tidak seperti terkunci seperti dulu muncul Peringatan itu dikeluarkan oleh Ladar Levison , yang menutup layanan email Lavabit bulan lalu masih terngiang di telinga saya:
Saya telah dipaksa untuk membuat keputusan yang sulit : untuk menjadi terlibat dalam kejahatan terhadap rakyat Amerika atau berjalan jauh dari hampir sepuluh tahun kerja keras dengan menutup Lavabit ... Pengalaman ini telah mengajarkan saya satu pelajaran yang sangat penting : tanpa tindakan kongres atau preseden peradilan yang kuat , saya akan merekomendasikan _strongly_ terhadap siapa pun mempercayai data yang pribadi mereka untuk sebuah perusahaan dengan hubungan fisik ke Amerika Serikat .Ini saran bahwa setiap perusahaan - dalam atau di luar Amerika Serikat - harus mengambil hati . Menghancurkan konsekuensi adalah bahwa perusahaan bahkan tanpa ikatan fisik ke Amerika Serikat mungkin dikompromikan , juga.