不十分なセキュリティに関する苦情について私が出くわした素人の反論は、常に次のような形をとっているようです。
違法なことをしていなければ、セキュリティは必要ありません。
この種の反応は控えめに言ってもイライラします。それは建設的ではないという理由もありますが、露骨に誤っているためでもあります。
このような人々からの反応にどのように対処しますか?
完全に正当な活動を行う場合の強力なセキュリティの必要性を示す、提示できる具体的な例を探しています。セルラーネットワークのエンドツーエンド通信における信頼できる暗号化、TorやVPNなどのネットワークID難読化サービス、完全かつ完全なデータ破壊などの分野の例は、私が求めているものです。
私は常にリビアやエジプトのような州での社会的蜂起を指摘する傾向がありますが、これらのイベントは、この議論を「テレビで起こること」として使用している、私が遭遇するあまりにも多くの人々に提示される傾向があります。それらまたは彼らの個人的な自由への影響。したがって、最初の世界でそれを正直に保つ反論、それはあなたが痛い、またはあなたのおばあちゃんのようなものはここで本当に価値があります。
この質問は今週のITセキュリティの質問でした。
詳細については、2011年10月10日ブログエントリをお読みください。または自分で送信今週の質問。
泥棒でない限り、玄関のドアをロックする必要はありません。
それはすべての関連する点で同じ考えです。
一人一人は、リスクの最善の判断に従って、自分自身または自分の財産を害する者から自分と自分の財産を保護するための合理的な措置をとる必要があります。
何十万人もの人が近くにいる都市に住んでいる場合は、鍵を購入して玄関を施錠します。それには理由があります。そしてそれはあなたがあなたのインターネットの玄関をロックするのと同じ理由です。
私の最初の考えは、次のように尋ねることです「他の人に持たせたくない貴重なものはありますか?」
答えが「はい」の場合、フォローアップします「それを保護するために何かしていますか?」
そこから、価値のあるものを保護する方法を提案できます(脅威のモデリング、攻撃のモデリングなど)。
ミランダ・ライツが言うように、「あなたが言うことは何でも、法廷であなたに対して使用することができ、使用されるだろう」。警察がミランダの権利をあなたに与えた直後、彼らは「しかしあなたが無実なら、なぜ私たちと話をしないのですか?」と言います。法廷で実際に使用されているため、多くの人が犯罪で有罪判決を受けます。これは、警察と話すべきではない理由を詳しく説明しているYouTubeのすばらしい動画です。 特に 無実の場合: http://www.youtube.com/watch?v=6wXkI4t7nuc
アメリカで最も一般的な犯罪の1つは「陰謀」です。ハッカーは、実際のハッキング活動で有罪判決を受けないことがよくありますが、陰謀であるとされています。警察が攻撃について話し合っている彼らのチャットログを持っているからです。あなたが本当に関わっていなくても、ハッキング攻撃に参加するつもりがなく、友達にそれをさせないようにしようとしたとしても、「陰謀」で有罪判決を受ける可能性があります。
さまざまな管轄区域では、システムを保護するしない場合、罰金または廃業になる可能性があります。具体的な例:
セキュリティに関する会話を始めるためのトピックについて 2010年11月からの@Tateの質問 を読む価値があります。
簡単な例:
商業機密データ。これは違法ではありませんが(違法な場合は、別の仕事を取得する必要があります)、機密性が侵害された場合、競合他社に市場での利点を提供することができます。それでも抽象的すぎる場合は、営業秘密を漏洩した人物として解雇された場合の個人的な影響を検討してください。
個人情報の盗難。 あなたは違法なことはしないかもしれませんが、あなたの名前で誰かがそうすることはできますか?
セキュリティは違法なことをすることではなく、誰かが違法なことをすることです(あなたに影響を与えます)。
通話を暗号化しないと、誰かがすべてのセールスマンが何をしているかを知り、クライアントを盗もうとする可能性があります。ドキュメントを細断しない場合、誰かがこのすべての情報を使用して、会社に対するソーシャルエンジニアリング攻撃を仕掛け、R&Dデータ、プロトタイプ、設計を盗む可能性があります...
だれかがその声明を持ってくるときはいつでも、私はいつも答えます-「あなたは世界中のすべての人々が法律に従っていると信頼することはできません」。
実際、世界中の誰もが法律を遵守している市民であれば、正面玄関を開いたままにしておくことができますが、犯罪者や他の多くの人々がさまざまな動機で正面玄関や裏口に侵入する可能性があります。与える可能性があります。
法を遵守する市民が強力なセキュリティを必要とするのはなぜですか?
個人は自分の生活を管理するために自分の情報を守る必要があります。
このステートメントは極端に聞こえますが、いくつかの簡単な例でそれを説明できると思います。
背景:あなたは元アルコール依存症です。あなたはもはやアルコールを飲みませんが、酔っているときは寛大になる傾向があります。また、通常、かなりの金額の現金を携帯しています。
Malloryは知っています:あなたは元アルコール依存症であり、酔っているときは寛大であり、通常、かなりの量の現金を持ち歩いています。マロリーはまた、あなたを酔わせるのにたった2つか3つの飲み物が必要だと疑っています。
シナリオ:アルコールを提供するレストランで、友人のアリスとボブ、ボブの友人のマロリーに会いました。ミーティング中、マロリーはテーブルに炭酸飲料を用意し、検出できない量のアルコールを炭酸飲料にこっそり加えます。アリスとボブは去ります。マロリーは現金の必要性について悲しい話を続けています。あなたはマロリーに現金を与え、二度と彼女を見たり聞いたりしません。
背景:あなたは公務員です。あなたが働いているオフィスは、現行の法律に対して否定的な声明を出す従業員に対して厳格なポリシーを持っています。 12歳の子供がいます。
シナリオ:人気のソーシャルネットワーキングサイトには、13歳未満の子供が自分のアカウントを持つことを許可しないというポリシーがあります。あなたは彼らにあなたの子供にあなたのパスワードを与えることによってあなたのソーシャルネットワークアカウントを共有することにしました。お子様はソーシャルネットワーキングアカウントを使用して、特定の法律に関する否定的なコメントを公開します。地元のメディアが投稿を発見し、あなたの本名とあなたが雇用されている場所を知る。メディアの取材により、上司はあなたの雇用を終了する必要があると判断しました。
背景:病んでいる祖母は一人暮らしで、収入はほとんどありません。彼女が経費を節約できるようにするには、彼女の従来の電話サービスをより安価なVoIPサービスに置き換えます。あなたの祖母はコンピュータを持っていません、そしてすべての彼女の銀行業務を電話でします。
シナリオ:敵対者が祖母のサービスプロバイダーからのVoIP通話を監視し、銀行の電話番号宛ての通話を標的にします。祖母は定期的に普通預金口座から当座預金口座に送金し、銀行のエージェントに口座番号とセキュリティコードを渡します。敵対者は、祖母の暗号化されていない通話を記録し、彼女の銀行口座番号とセキュリティコードを入手します。次に祖母がアカウントのステータスを確認したときに、残高がゼロであり、残高が大きいクレジットカードが彼女の名前で開かれました。
セキュリティには、よく知られている3つのコンポーネントがあります。機密性(機密性)、整合性(損傷、変更、改ざんされていない)、および可用性(必要なときに入手できます)です。
「何も隠すことはありません」という主張は、機密性に対してのみ有効です。個人が情報の一部を秘密にして、それを必要とするだれでも簡単に入手できないようにしたいという明白なケースがあります。最も簡単な例は、銀行カードPIN番号です。あなたの銀行カードを持っていて、PINを知っている人なら誰でもあなたのお金を盗むことができます。
他の明白な例は、アラームコード、チェックアカウント番号、ロックや金庫の組み合わせなどの従来のセキュリティアイテムです。したがって、「隠すべきものは何もない」という議論は、それ自体には明らかな本質的な価値がない活動の情報を実際に対象としています。
携帯電話での会話の例を見てみましょう。
アリスには、サプライズバースデーパーティーが好きな友人のボブがいます。ボブの他の友人にはカールとエヴァンが含まれます。カールは携帯電話の会話を盗聴するのが好きです。アリスはエヴァンに電話して、ボブのサプライズバースデーパーティーを計画し、カールは会話を聞きます。パーティーの前日、カールはボブにパーティーの計画について話します。カールがパーティーを秘密にしておけばボブが持っていたであろう楽しみの価値は今や失われています。カールによるアリスとエヴァンの間の秘密の開示は、秘密の当事者ではなかったボブに否定的な結果をもたらします。
典型的な「何も隠さない」という議論は、通常、秘密が何か悪いもの(違法、不道徳、恥ずかしい)を隠していること、および秘密の開示が秘密の守護者の少なくとも1人に否定的な結果をもたらすことを意味します。一部の「隠すものは何もない」という議論は、秘密の開示は誰にも害を及ぼさないと主張しています。前の例は、これが常に当てはまるわけではないことを示しています。
次に、匿名性の例を見てみましょう。
アリスは大学の顧問の理事会に座っている裕福な個人です。大学は財政難に陥っており、個人的な寄付を受け入れることが許可されています。アリスは大学に匿名の寄付をしたいと考えています。アリスは匿名の寄付の可能性を大学の大臣であるボブと個別に話し合っています。キャロルは、アリスの理事会への影響を減らすために悪意を持って追求する大学理事会の別のメンバーです。ボブはアリスの議論をキャロルに開示します。キャロルは、アリスを除く他の理事会メンバーに、アリスは理事会の知らないうちに大規模な匿名の寄付をすることにより、国税局の支持を得ようとしていると伝えています。結果として、アリスははるかに小さな公共の貢献をします。
匿名性に対する「何も隠さない」という主張は、匿名のままでいることを望む人がそうしている必要があることを意味します。困っている大学への匿名の寄付は、悪いと特徴付けるのが難しい。この場合の秘密の開示は、大学と潜在的にアリスを傷つけました。この例は、過度の開放性に関する問題の一部、つまり第三者が情報や行動を誤って解釈する可能性も示しています。
おそらくあなたはあなたが隠すものは何もないと考えているかもしれません、そしておそらくあなたは実際に違法、不道徳、または恥ずかしいことを何もしていません(「何かを隠すもの」カテゴリについて@thisjoshに感謝-良い説明そこ)。しかし、それはあなたの意見です。他の人の意見は同意しないかもしれません。他の人たちは、情報を得るためにあなたのセキュリティの欠如を悪用し、あなたと同じ心の人々にあなたが何か非難すべきことをしたと説得する立場にあるかもしれません。これは、あなたが彼らのスタンスに同意するかどうかにかかわらず、マイナーな不便から極端な悲劇まで及ぶかもしれないあなたの人生に悪影響を与える可能性があります。
また、世界中のすべての人々が現在、合法的、道徳的、そして楽しいものについてのあなたのスタンスに同意しているとしても、意見は変化します。法律も変化し、場合によっては広く受け入れられている倫理規範さえも変化します。公正、公平、完全にあなたの権利の範囲内にあると思われる、あなたが今行っていることは、後で他人に対する犯罪または侮辱と見なされる可能性があります。そして、これらの他の人たちは、それらのものに対して法律を書いたり、反対するために世論を揺さぶったりするような権威の立場にいるかもしれません。次に、あなたの過去の行動(またはあなた自身の個人的な信念の下で継続している場合は継続中の行動)の啓示は、実際に恥ずかしいことになり、さらには投獄されることさえあります。
一番下の行はこれです。プライバシーと匿名性を保護するために優れたセキュリティを実践していない場合は、全世界(友人、家族、政府、一般の人々)のすべての人々-誰も気にしないでください- 実際にそうかもしれませんあなたを手に入れるために外に出ます)それが現在存在し、将来もそうであるようには、あなたの個人情報とアイデンティティの詳細をあなたの最善の利益に適した方法で処理します。あなたは今それをする世界を信頼していますか?今から20年後の世界は同じだと信じていますか?
セキュリティがサービスプロバイダーに適用される理由に関する多くの回答-ただし、インターネットに関係するall当事者に適用されます。
PCのセキュリティが不十分なためにルートキット化され、ゾンビ軍に採用された場合、責任を負う必要がありますか?誰かがあなたのWiFiルーターを使用してオンライン銀行口座で詐欺的な取引をした場合はどうなりますか? AFAICS、ほとんどの管轄区域ではあなたがそうです。
奇妙なことに、ほとんどの管轄区域では、ロックされたキャビネットではなく、装填された武器を家の周りに置いたまま、薄暗い見方をします。
同様に、お客様が提供したデータを処理しないWebサイトを運営していて、そのサイトが侵害されている場合、意図していない目的に使用される可能性があります。
そして、それはマーサ・スチュワートのシナリオを検討する前です。
これは、セキュリティに関する根本的な誤解を示しています。
セキュリティ(すべての種類)によって、定義された境界の外側(ファイアウォール、フェンス、ドア)から「もの」を安全に保つことが期待されます。違法行為を内部に留めるためにのみ使用されていると言うのは、フリッツルイクエスです。
Polemical response-対戦相手を防御する...
「私たちもすべての身元と財務情報をインターネットに載せるべきだと言っていますか?」
よりソフトな応答(個人/職業上の関係を損なう必要がない場合)は、ジョークを作り出します(いわばジャブを和らげるためです)...
「あなたはアイデンティティ泥棒の親友です!」
または、より正式に考えを表現する場合、そして攻撃のリスクを最小限に抑えて(たとえば、上司に)...
「強力で費用対効果の高い暗号化ソリューションを使用してデータが包括的に保護されていない場合、重大な責任を負う可能性があります。」
OR
「機密性の高い顧客データを保護するために暗号化技術を使用することを義務付ける保留中の法律に違反する可能性があります。」
私は「ばかであることで私たちの残りの部分を安全でなくする」と言い、そして全員が適度に強いならば豆の丘にならなかった小さな違反があったLastPassの大失敗を参照することによるフォローアップパスワード。しかし、いくつかのbozoには辞書の単語があったため、私たち全員が(わずかに)リスクにさらされていました。
したがって、悪意のあるユーザーがデータベースを入手し、ユーザーのマスターパスワードが弱い場合、ある程度の時間をかけて、ブルートフォース攻撃を仕掛ける可能性があります。そして、LastPassの担当者たちは、注意を怠ると、マスターパスワードを変更するだけでいいと言いました。ご不便をおかけして申し訳ございません。他のサイトパスワードを変更する必要はなく、1つのマスターパスワードを変更するだけです。そうすれば、取られた可能性のあるものは何もなかったし、何も取られていなかったとしても、取られた可能性のあるものはすべて、ブルートフォース攻撃に対しても脆弱です。
差出人: https://www.grc.com/sn/sn-301.htm
トランスクリプト全体をここに貼り付けるのではなく、興味があれば、それをもっと読んだり、ポッドキャストを聞いたりできます。
だれもが強力なマスターパスワードを持っている場合、ブルートフォース攻撃は実行不可能であると考えました。暗号理論の観点からは、その理由を説明するスキルはありませんが、リンクをチェックすると、その情報がそこにある可能性があります。
「銀行口座を使用するときに、名前と口座番号だけで十分なのに、なぜPINコードを持っているのですか?」
私はそれが同じ(誤った)推論であると返信します:
「あなたには隠れるものがありませんね」
これは、警察による、あなたに対する警察の違法行為に対するあなた自身の同意をだますために使用されます。
例を見てみましょう: 警察の捜査を拒否する方法
エドワードスノーデンが言ったように( ビデオ ): "非表示にするものがないのでプライバシーの権利を気にしないと主張することはあなたがそうすることを言うことと違いはありません何も言うことがないので、言論の自由は気にしないでください。」
法律を遵守する市民として、通常は他の人と秘密を守ることを約束することで、他の人と契約を交わします。
ほとんどの従業員は、従業員に雇用主から特定の秘密を保護する責任を負うフォームに署名させます。その後、従業員が雇用主に関連する情報を安全でない方法で処理することによってその責任を果たさない場合、それらは法律を遵守する市民ではありません。
ヨーロッパでは、GDPRにより、多くの人々がアクセスできる他の人々の情報を保護する必要があります。 GDPRの規定に違反しやすいため、セキュリティを気にせずにヨーロッパで法を遵守する市民になることは不可能かもしれません。米国の多くの専門家にとって、情報を保護することを彼らに要求する法律もあります。
秘密保持の法的要件に加えて、友人や家族の秘密を保護することに関する社会的義務もあります。友人や家族の秘密に違反した場合、法律に違反することはないかもしれませんが、倫理規範に違反することになります。