La seguridad y la privacidad siempre serán un acto de equilibrio imperfecto: la visión de Alphr

Siempre habíamos planeado centrarnos en la seguridad y la privacidad en abril, pero los acontecimientos recientes sin duda nos han recordado por qué es necesario. En el ataque terrorista de marzo en Londres, se ven dos caras de la misma moneda: las amenazas reales y graves a las que nos enfrentamos en el siglo XXI y el analfabetismo tecnológico de quienes buscan prevenirlas.

La seguridad y la privacidad siempre serán un acto de equilibrio imperfecto: la visión de Alphr

Ignorando la dudosa pregunta de si la seguridad reducida habría evitado este ataque (las teorías actuales sugerir que el hombre actuó solo), hay una enloquecedora falta de comprensión de un hecho simple: no existe tal cosa como una puerta trasera de seguridad que solo deja pasar a los buenos. Es una elección binaria: las aplicaciones de mensajería están encriptadas o no. Sugerir lo contrario delata una ignorancia de la tecnología o un intento burdo de apoderarse del poder estatal.

Hay otra capa de ironía aquí: en un mundo donde las brechas de seguridad en Internet ocurren mensualmente, el cifrado de WhatsApp muestra un grado poco común de visión de futuro que la mayoría de nosotros no considera cuando nos registramos sin cuidado en docenas de sitios web cada año. Con más y más datos en línea, desde datos bancarios hasta datos de estado físico, el daño que pueden causar los piratas informáticos se vuelve cada vez más desconcertante.20161215_alphr_data_breachesA través de estatista.

Este mes, analizaremos los problemas relacionados con la seguridad y la privacidad, pero como punto de partida, aquí hay una serie de pensamientos de los escritores de Alphr.

ian_betteridge

Ian Betteridge: Seguridad, no teatro de seguridad

La mayor amenaza de seguridad en su organización es sentarse y leer esto: es usted. No es que vaya a piratear su propia empresa o vender secretos a los competidores, sino simplemente en términos del potencial para creer que ha hecho lo suficiente al respecto.

Seamos claros: nunca se puede hacer lo suficiente por la seguridad de su tecnología. Es algo de lo que debes ser consciente constantemente y siempre debes evaluar cuánto más puedes hacer.

Pero el mayor desafío en realidad proviene de algo que llamo “teatro de seguridad”: ser visto haciendo cosas, sin considerar realmente qué tan efectivas son. Simplemente cambiar a un servicio de correo electrónico basado en la nube que ofrece autenticación de dos factores no hará que su negocio sea seguro, pero es algo que las personas pueden señalar y decir "hemos hecho cosas". Ningún sistema es seguro a menos que desarrolle una cultura de seguridad a su alrededor.

Este mes se trata de seguridad real, en lugar de teatro de seguridad.

alan_martin

Alan Martin: Un problema real que la mayoría de la gente no considera hasta que es demasiado tarde

Buenas y malas noticias. La buena noticia es que es menos probable que asalten su casa que hace una década. La mala noticia es que el toque personal del ladrón de la vieja escuela ha sido reemplazado por algo que en realidad es mucho peor, incluso si te sientes menos violado a corto plazo.

No es que no nos hayan advertido. Los expertos en ciberseguridad han estado gritando lo inútiles que somos con las contraseñas y la actividad en línea durante años, pero es un tema difícil de hacer interesante. Solo un puñado de personas lee revistas de cerrajería sin conexión, entonces, ¿por qué esperaríamos que la ciberseguridad sea un nicho menos? Solo nos interesamos realmente en la seguridad cuando es demasiado tarde, y los datos personales de toda una vida están a la venta en la dark web al mejor postor... probablemente por una cifra insultantemente baja que preferirías no saber.

Como la mayoría de las personas, mi seguridad en línea era terrible, porque la vida parecía demasiado corta. Cuando Yahoo fue pirateado una vez más, tomé medidas para solucionar el problema y cerré la cuenta. Pero al revisar los correos electrónicos de 12 años, descubrí cuántas migas de pan había dejado esparcidas por Internet. Docenas de sitios en los que me había registrado, hice un solo pedido y luego me olvidé.

Ahora uso un administrador de contraseñas, pero quizás lo más preocupante de mi antiguo sistema, que sin regalar el juego, solo era marginalmente mejor que reutilizar la misma contraseña en todas partes, era que aún era mejor que la mayoría y era suficiente para mantener yo a salvo a lo largo de mis 20 años.

Probablemente sea hora de que te hagas más difícil de hackear que la persona que está a tu lado. Pero recuerda que si alguien está realmente decidido a hackearte, es probable que encuentre la manera. Reza para que no seas lo suficientemente interesante como para molestarte.

jane_mccallion_foto de cabeza

Jane McCallion: La seguridad sigue siendo un misterio para la mayoría de las personas, y eso es un problema

Hay un problema para aquellos de nosotros en el mundo de la seguridad de la información: nos encanta hablar entre nosotros, pero somos realmente malos para decirles a los demás sobre lo que deben y no deben preocuparse.

Nos sentamos y hablamos sobre actores maliciosos y APT y RAT y caza de ballenas y phishing, etc., etc. Todos sabemos de lo que estamos hablando, pero para cualquiera que esté afuera es desconcertante. Los intentos de hacer que el área sea más accesible mediante el uso de nombres en clave para hackear grupos y malware tampoco han ayudado realmente; de ​​hecho, sospecho que pueden haber empeorado las cosas.

Incluso yo soy culpable de ello, y paso gran parte de mi vida laboral escribiendo y hablando sobre seguridad, pero hay una suposición bastante segura de que, en el sitio hermano de Alphr profesional de TIcuando escribo sobre los elementos básicos de una vulnerabilidad, un parche, un ataque o un producto, el lector ya tiene algo de conocimiento.

Esta desconexión entre la comunidad de seguridad y el público en general se manifiesta de muchas maneras. Los piratas informáticos en las fotos de archivo siguen siendo, en el mejor de los casos, hombres jóvenes sin rostro que usan sudaderas con capucha negras, o alguien con pasamontañas en el peor de los casos. Si existe algún concepto de un “ejército de hackers”, probablemente se parezca más a un miembro de las agencias de inteligencia rusas o chinas que a uno occidental.

También hay problemas muy básicos. La seguridad de las contraseñas aún está lejos de ser una prioridad: la facilidad de uso y la recordación son lo más importante, en lugar de garantizar una alta entropía, mientras que los valores predeterminados del enrutador y el dispositivo rara vez se cambian; de hecho, a veces no se pueden cambiar. Existen soluciones que usan algunas personas más jóvenes (como Alan), pero tratar de lograr que la generación anterior, aquellos que fueron pioneros en las PC y las computadoras de oficina pero que ahora se jubilan, usen herramientas como los administradores de contraseñas es una lucha cuesta arriba. La sabiduría de larga data de que una contraseña fácil de recordar que no escribe ni comparte es mejor tiene más peso para ellos y otros que "aquí, use esta herramienta que generará una cadena aleatoria de caracteres que nunca recordará y almacenarlos en línea”. Es contraintuitivo.

A medida que más y más dispositivos se conecten a Internet (me niego a hablar de tostadoras "inteligentes", etc., no tienen ni cerca de la potencia de procesamiento para eso), veremos más ataques impulsados ​​por Mirai. La probabilidad de que esto sea apocalíptico, como algunos han predicho en el pasado, es baja: no vas a tener ningún impacto geopolítico real a través de la combustión espontánea de la tostadora. ¿Pero campañas DDoS sostenidas llevadas a cabo por enormes redes de bots compuestas de dispositivos "inteligentes" mal protegidos? Eso podría cambiar las reglas del juego, dependiendo de a quién se dirijan.

De cualquier manera, no creo que me quede sin cosas sobre las que escribir en el corto plazo.

thomas_mcmullan

Thomas McMullan: Es un tema difícil de entender

Conceptualizar la seguridad digital no es fácil. Piense en la seguridad física y es posible que tenga un control relativamente bueno de cerraduras, persianas, puertas, guantes de boxeo, puentes levadizos, fosos, etc. Piense en la seguridad en línea y, a menos que esté bien versado en una gran cantidad de jerga de sombrero negro, se queda atrapado en términos entendidos a medias para procesos invisibles.

Luego está la otra cara de la moneda: la privacidad. Después de Snowden, los ciudadanos se rebelaron contra el espionaje desenfrenado del gobierno, pero ¿cómo se ha traducido esto en legislación? En los últimos tiempos, no brillantemente. La Carta de Snoopers se convirtió en ley en el Reino Unido el año pasado, y este año hay medidas serias para socavar la privacidad del consumidor en los EE. UU. Subyacente a todo esto hay un sentimiento de que, por mucho que la gente diga que se preocupa por la privacidad, impulsar la acción es otro asunto, una vez más relacionado con la dificultad de comprender cuáles son realmente los límites y las expectativas de la privacidad digital.

Es un tema que no va a desaparecer, y la esperanza es que la seguridad digital se convierta en algo que se comprenda más ampliamente. Con la llegada de los dispositivos conectados en nuestros hogares y ciudades, la cantidad de información sobre ciudadanos particulares está a punto de dispararse. ¿Nos despegaremos más de nuestros datos (poniendo fe en la nube)? ¿O reaccionaremos de manera diferente a las preguntas de seguridad y privacidad que rodean a los sensores en nuestros hogares que a nuestros mensajes de WhatsApp?