“云盘只是别人的电脑”?

2019-08-09 08

  作为IT安全提供商,我们面临的主要挑战之一是及时了解行业及相邻事物的最新发展。除了收听Smashing Security Podcast之外,没有比这更有趣的方式了。该节目的主持人Graham Cluley和Carole Theriault讨论了与网络世界安全有关的各种主题。从Blockchain到Fortnite - 没有任何话题太科学或有趣。格雷厄姆是Boxcryptor的狂热用户,并且不会拒绝告诉全世界Boxcryptor给你的很棒的安全性(显然是他)。因此,当格雷厄姆在推特上提到Boxcryptor时,我抓住了机会,请他聊聊谈谈我们用户感兴趣的主题。

  在这次访谈中,格雷厄姆和我讨论了各种主题,包括他对(在线)安全和数据保护的总体看法,为用户寻求提高安全性和政治问题的建议以及对未来的简要展望:

  来自Boxcryptor的Jonathan:您第一次考虑保护数据是什么?数据保护如何成为您的重要主题?

  自20世纪90年代初以来,我一直从事计算机安全工作,实际上甚至在从事计算机安全工作之前我都有兴趣。这是万维网存在的前几天,或者很多互联网并不是那么完善,但我是邮件列表的成员,例如,当我还是大学的时候,它与计算机安全有关。我开始意识到恶意软件,病毒和特洛伊木马是如何 - 其中一些会删除人们的文件,这也是你应该备份的另一个原因。显然,当我拥有自己的电脑时,备份对我来说是一件很重要的事情。然后随着时间的推移,出现的一件事就是基于云的服务,比如Dropbox,它们成了真正的热门,当我尝试它时,我想“

  但我真的不喜欢我的文件在别人的电脑上的想法。我声名鹊起,或者说我声名鹊起的其中一个是我认为我是第一个说云才是别人的电脑的人。这是因为现在,所有人都说了,但这对我来说似乎很明显。这总让我很紧张。我确实使用Dropbox用于多种目的,我也使用过其他云同步服务。但我总是有这种担忧。就在那时我遇到了Boxcryptor并且认为“哇这是一个很棒的解决方案,就像Dropbox一样,它是隐形的,它是无缝的,它只是起作用”。所以,从那以后我一直在使用它。

  你个人觉得如何发现一个新的数据保护丑闻?当然,对于您的业务来说,它们是必不可少的,但是在数据保护方面,对于许多公司来说,它们是多么糟糕?

  这令人沮丧,令人担忧。因为你看到公司一遍又一遍地犯同样的错误。而且我承认事故会发生,而且我们都是人,我们会犯错误,你知道这只是其中之一。我们会犯错误,有时我们不会像过去那样安全。但是,我真的希望看到改进不仅仅是在事件发生之前的安全性,但我希望看到数据安全实例在发生之后如何处理的真正改进。

  我认为对于许多公司而言,客户认为最重要的不是你是否有违规行为,而是你处理得多好。我已经看到了被黑客攻击的公司的例子,他们处理得非常好并且非常透明,他们实际上已经将潜在的公共关系灾难转变为实际上最终会让客户更加热爱他们的事情。并且说“非常感谢你,你已经很好地处理了这个问题,你告诉我们到底发生了什么,你告诉我们你在做什么修复它,你告诉我们威胁是什么,我们需要做什么”。人们喜欢这样。

  你能举一个很好地处理这种事件的公司的例子吗?

  是的 - 我会给你一个例子:LastPass - 在线密码管理服务。显然,它们是基于云的。几年前他们发生了安全事故。他们回应的方式,他们的开放性,以及他们给我们完全发生的事情的详细程度。当你查看他们博客帖子上的评论时,所有这些用户都在说“谢谢”。他们不是那些说“我再也不会再使用你了”的用户,“我不会再相信你了”。他们处理得非常好。因此,有些公司可以做得非常好。

  当然,我们看到其他公司 - 我本周才看到一个与我打交道的公司。当我向他们提供证据表明他们遭受了相当严重的数据泄露并且他们不仅没有通知他们的客户时 - 他们认为这不是他们的工作。但他们不会发布任何公开声明。我问他们'你有公开声明可以给我吗?'他们的答案只有一个字:“不”。而你只是想:你是在自己的头脑中射击。我对他们说:“看,你有机会在这里稍微拥有这个故事,让你的观点解释你正在做的事情是积极的”。 - “不。我们不会说什么“。

  我想现在越来越多的公司都在醒来。你知道我的个人生活。我不是一个完美的人类。我在生活中犯了错误,有时也许我的妻子因为某些原因对我很生气。多年来我发现最好的办法就是举起手来说:“我很抱歉。我做错了,我应该知道的更好“。只是道歉,接受责任并说这就是我要解决的问题。这也是你对公司的期望。人们希望,随着GDPR这样的事情的引入以及公司现在可能遭受的后果,在数据泄露之后,他们会在这方面获得更多的成长。这就是我想看到的。

  想象一下,你正在举办派对,而且非常无聊:是否有任何特定的数据泄露事件立即浮现在你的脑海中,它的特别之处是什么?

  我认为网络犯罪发生了很大变化。在过去的25或30年。我当然认为在早期 - 1990年初期还有一些更有趣的故事。当它们是后卧室的孩子时。当它们基本上是电子涂鸦时,他们不是为了钱。从那时起,有一些关于人们所做的事情以及他们所犯的错误的精彩故事。这是Joseph Popp博士的故事。在勒索软件成为我们今天所面临的巨大问题之前,他很可能是勒索软件的发明者,大约在1990/91这一年。他所做的就是向英国的计算机杂志订阅者发送一张软盘。在软盘上有一个叫艾滋病信息的东西,你把它安装在你的电脑上,它可以提供有关艾滋病和所有这些事情的信息。但是里面写了一个特洛伊木马,如果你将它保存在你的计算机上太长时间,它将开始引起问题,你不得不把钱寄给巴拿马的邮政信箱,以获得恢复数据的关键因为他加密了你的数据。

  所以,这是在比特币之前的网络前几天,在加密货币之前,他要求通过邮件发送付款,他也必须通过帖子感染你。他最终被抓住了,然后声称他疯了。他们知道他很生气,因为他亲自处理了所有这些信封并用手将邮票贴上,用软盘将它们送到成千上万的人手中。所以,我认为他赚的钱不多,但肯定是个大问题。你就是 - 勒索软件已经存在了将近30年。但不是目前的阴险形式。但在那些日子里,编写恶意软件的人是非常奇怪的人。或者他们是孩子。因为没有理由这样做。他们只是乱七八糟 - 他们正在炫耀。现在发生了什么,它变得相当无聊,因为它总是关于钱,它总是只是罪犯或人们试图窥探你并窃取信息。但他们是在您的资源之后,在您的数据之后或在您的资金之后以某种方式。所以,很多艺术,很多乐趣都在某种程度上消失了,即使那时候也没有那么好的东西,不要误会我的意思,但你甚至不能偷偷地看待这些东西现在。

  您对那些不懂技术的用户有什么建议:他们应该从哪里开始提高数据安全性?你有前1或前3的建议吗?

  这是我经常遇到的一个问题,当我进入出租车的后面时...你需要让自己成为某种密码管理员。你的微弱,人脑无法自己处理密码问题,如果它是复杂和独特的,它将无法记住密码。您将选择一个愚蠢的密码,或者您将重复使用相同的密码。所以,获得一个密码管理器。它会为您选择密码 - 它会安全地存储它们。通常人们会说:“我可以信任密码管理器吗?” 当他们这么说时,我喜欢它,因为那时我认为他们有正确的愤世嫉俗的质疑态度。他们会更安全,因为他们正在考虑这些事情。潜在的密码管理器可能会被黑客攻击但是我不相信使用密码管理器会更危险。

  另一个是双因素身份验证。因此,使用多重身份验证可以保护尽可能多的在线帐户,这通常意味着您的智能手机上会有一个应用程序,它会生成一个随机的六位数字。因此,当您登录时也输入该引脚。这意味着,如果黑客窃取您的密码(可能是网络钓鱼),除非他们也可以访问您的智能手机,否则它是毫无价值的。

  最后:默认加密。太多人认为加密应该是例外。它是:“哇,我们真的需要加密这个” - 这不应该是你的想法。你的想法应该是:“有什么理由不应该加密”。如果它不必是未加密的,它应该被安全加密,因为你永远不知道什么时候硬盘驱动器可能落入坏人之手,或者当你的云帐户被黑客攻击时,或者其他任何东西。但在很多情况下,我们看到公司和个人在未提供加密数据的情况下对基于云的服务敞开大门。结果又是另一个数据突破标题。

  对于那些说“我没有什么可隐瞒”的人有一种常见的误解 - 你对他们说了什么?

  嗯,这很棒:让我在你的卧室里设置一个摄像机,接下来的24小时。我们都有一些隐藏的东西。这根本不是真的。我们都穿衣服。如果我们要搜索我们的搜索引擎查询,我们会发现有关人员的大量信息。搜索引擎和一些在线服务,一些社交媒体网站比我们自己的亲人更了解我们。他们还拥有计算机的强大功能,可以整理所有数据并吸收它们,并了解更多关于您的信息。

  所以,我认为我们都有一些隐藏的东西,你可能没有犯罪,但世界上有很多人发现他们一个早晨醒来在一个政权已经改变的国家,他们现在有一个极权主义政权或警察开始就他们开始收集的数据进行过度扩张。你怎么知道政府,你怎么知道智能服务会保证数据安全。我们看到政府和其他人在过去被黑客入侵。所以,即使你认为我可以信任他们照顾这个,你也做不到。因为每个人都被黑了。所以,我会说你必须要注意。这是一种基本的人权,是隐私权,我认为不要轻易放弃。保持隐私,您将更安全。

  在BREXIT的曙光中,您能否找出英国公司在GDPR方面可能遇到的任何重大困难?

  我正要说英国公司的坏消息是他们不能使用BREXIT作为不符合GDPR标准的理由。因为GDPR是 - 我不是说这是最重要的 - 但它是公司的最佳目标,它应该成为公司和英国公司的起点,无论我们是欧洲的一部分还是不需要有适当的安全和隐私,因为他们想要出售给在欧洲的人,所以我们必须遵守。对不起,我们也不会离开那个,就像美国也必须符合GDPR标准一样。我认为这是件好事。我认为GDPR非常积极,我希望这对许多公司来说是一个警钟,我相信它将继续成为未来很长一段时间头条新闻的主流。所以,我认为这是个好消息。

  关于BREXIT一般来说,我无法想到任何与计算机安全有关的具体内容。我希望英国继续与其在智能服务和计算机犯罪方面的欧洲对手部门密切合作。就个人而言,在经济层面上,我认为BREXIT对英国来说将是灾难性的,这不是好消息。因为这可能意味着我们无法在计算机安全和隐私方面投入太多,其中包括英国愚蠢投票的东西,而且我们似乎正在全速前进。

  您对新的Web身份验证(WebAuthn)标准有何看法?我们会生活在一个“无密码”的世界吗?

  我认为密码的死亡经常被预测但从未出现过。我不确定我们是否会完全摆脱密码。我认为人们试图替换密码的各种事情通常都不如密码那么好。我们应该做的,可能是,除了密码,但只是加强我们的安全性,以确保它不仅仅是一个密码,例如我们所说的多因素身份验证,可以与密码一起使用。我认为人们在认证方面越来越聪明,并认识到多因素的好处,但是有很多人仍在使用像12345这样的密码并重复使用相同的密码。我们还有很长的路要走,众所周知,

  您是否认为数据保护不再是一个问题,因为所有数据都是安全的?

  这不是一个美好的梦想吗?但我认为这只是一个梦想 - 我想我们将在一个早晨醒来然后去“哦不,我梦见那将是这样的”。也许如果我们摆脱所有的人。也许如果我们摆脱所有的人类。然后问题就会开始消失。但是没有 - 数据安全性是一个问题,它可以保留,它可能会改变它的攻击性质,数据安全性的形式可能会有多种被利用和破坏,但这是一个问题,它将与我们这么多年了。

  但是,让我们不要悲观:互联网和计算机为我们提供了创造性和彼此沟通的绝佳方式,我们必须保持安全。我们必须知道如何以安全的方式安全地使用它们,以及如何保护人们委托给我们的数据,这样我们就不会冒这个风险。互联网和电脑带给我们的奇妙东西是一个很小的代价。

  对于那些希望了解数据泄露和安全建议的人,您建议使用哪些(值得信赖的)资源?

  我会推荐一些资源。一个是:我认为每个人都应该注册一个名为“ haveIbeenpwned ” 的网站,该网站由Troy Hunt运营,这是一个数据泄露通知服务。因此,如果您在那里输入您的电子邮件地址,则在数据泄露时您可以收到自动通知,告知您是否拥有特定服务的帐户。有时您可能甚至不知道他们有关于您的信息 - 他们有您的电子邮件地址,因此您收到了电子邮件,然后您可以找到有关违规行为的更多信息,并采取任何必要的行动。您甚至可以注册为公司,这意味着如果您公司内的任何人注册了特定服务,您可以收到通知,该服务后来被黑客入侵。所以,我推荐“haveibeenpwned”。

  另一个很好的资源是krebsonsecurity.com,由网络安全博客Brian Krebs经营:他是一位伟大的调查记者,他经常打破全新数据泄露和安全问题的故事。所以很明显我会推荐这个。他就像我一样是博主。

  如果你想要一些不同的东西,我可以挥动自己的旗帜,我每周播客称为“粉碎安全”,我们尽量不陷入计算机安全的技术方面,我们试图让每个人都可以访问。因为我坚信我们不能只是专家与专家交谈。我们不能只是IT安全人员与IT安全人员交谈。我们需要向每个人传达这一点,因为每个人现在都有一台电脑放在口袋里。他们的桌面上有一台计算机,他们希望保护这些数据。因此,我们必须使用简单的语言并使其变得有趣,并使消息传递变得有趣。

  我要感谢格雷厄姆与我交谈并代表整个Boxcryptor团队回答我的所有问题。