9 Fakten über Computer-Sicherheit, die Experten, die Sie wünschen wusste

Jeden Tag hören Sie über Sicherheitslücken, Viren und Böse Hacker-Banden, die Sie mittellos verlassen könnte – oder, schlimmer noch, Ihr Land in die Knie zu bringen. Aber was ist die Wahrheit über diese digitalen Gefahren? Wir fragten Computer-Sicherheitsexperten, die Mythen von Fakten zu trennen. Hier ist, was sie sagten.

1. haben ein sicheres Kennwort tatsächlich kann verhindern, dass die meisten Angriffe

Facebooks Chief Security Officer Alex Stamos verbrachte die meisten seiner Karriere Sicherheitslücken zu finden und herauszufinden, wie Angreifer versuchen könnte, Softwarefehler zu nutzen. Er hat alles, was von den meisten hinterhältigen Hacks für die einfachsten Social-Engineering-Betrügereien gesehen. Und in all dieser Zeit, er wird festgestellt, dass es zwei einfache Lösungen für die überwiegende Mehrheit der Nutzer gibt: sichere Kennwörter und zwei-Faktor-Authentifizierung.

Stamos, sagt, dass das größte Problem ist, dass die Medien konzentrieren sich auf Geschichten über die tiefsten und kompliziertesten Hacks, lassen Benutzer Gefühl, als gäbe es nichts sie tun können, um sich zu verteidigen. Aber das stimmt einfach nicht. Er erzählte mir per e-Mail:

Habe bemerkte ich eine Menge des Nihilismus in den Medien, die Sicherheitsbranche und die Öffentlichkeit, da die Snowden Docs herauskam. Dies äußert sich in der Regel als Menschen, die ihre Hände werfen und sagen: "Es gibt nichts, was wir tun können, um sicher zu sein". Es ist, zwar richtig, dass es wenig die meisten Menschen tun können gibt, wenn mit Blick auf eine erstklassige Intelligenz-Apparat mit der Fähigkeit, Festplatte Firmware neu zu schreiben sollte dies nicht abbringen, Benutzer zu tun, was sie können, um sich vom eher Bedrohungen und Sicherheitsexperten aus Gebäude nutzbar Schutz für realistische Gegner zu schützen.

Benutzer können sich gegen die wahrscheinlich und verderblichen Bedrohung Schauspieler schützen, durch zwei einfache Schritte:

(1) einen Passwort-Manager installieren und nutzen sie einzigartige Passwörter für jeden Dienst zu erstellen, die sie verwenden.

(2) aktivieren zweite-Faktor-Authentifizierung-Optionen (in der Regel per SMS) auf ihre e-Mail- und social-Networking-Konten.

Letzteres ist besonders wichtig, da Angreifer gerne übernehmen die e-Mail- und social-Konten von Millionen von Menschen und dann automatisch mit ihnen auf andere Konten zu drehen oder um Daten zu sammeln, auf denen Konten, hochwertige Ziele gehören.

Also möchte ich wirklich die Medien, verbreitet die Idee, die nur weil unglaubliche Kunststücke auf der High-End-Spektrum des Bedrohung möglich sind bedeutet nicht, dass es nicht möglich ist, halten Sie sich sicher in den meisten Szenarien zu stoppen.

Adam J. O'Donnell, ein Principal Engineer mit Cisco Advanced Malware Protection Group verstärkt Stamos grundlegende Hinweise:

Ach ja, und mein Rat für die durchschnittliche Person: gute Backups machen und sie zu testen. Verwenden Sie ein Kennwort-Tresor und ein anderes Kennwort auf jeder Website.

Ja, ein gutes Passwort ist einfach – und es ist immer noch das beste, was Sie tun können.

2. nur weil ein Gerät neu ist, bedeutet nicht, dass es sicher ist

Wenn Sie die Box auf Ihrem neuen Smartphone, Tablet oder Laptop Auspacken, es riecht nach frischem Kunststoff und die Batterien arbeiten wie ein Traum. Aber das bedeutet nicht, Ihr Computer ist nicht bereits mit Malware infiziert und gespickt mit Sicherheitslücken.

Ich hörte von vielen die Sicherheitsexperten, die ich interviewt. Eleanor Saitta ist technischer Direktor für das internationale Institut für moderne Medien und arbeitet seit mehr als einem Jahrzehnt Beratung von Regierungen und Konzernen über Fragen der Computer-Sicherheit. Sie glaubt, dass eines der schädlichsten Mythen über die Sicherheit, dass Geräte ihr Leben völlig sicher beginnen, aber weniger sicher, wie die Zeit vergeht. Das stimmt einfach nicht, vor allem, wenn so viele Geräte mit gefährdeten kommen Adware wie Superfish darauf vorinstalliert (wenn Sie sich erinnern, Superfish bei vielen Lenovo Laptop vorinstalliert):

Das ist, warum das Superfish, war so eine große Sache. Sie bauten eine Hintertür, bauten sie eine wirklich schlecht, inkompetent und jetzt stellt sich heraus, dass jemand hindurchgehen kann.

Wenn Sie auf Code von jemand anderem gelieferten angewiesen sind, ein Online-Service oder Box, die du nicht kontrollierst, Chancen stehen gut, dass es nicht in Ihrem Interesse handeln weil es versucht, Sie zu verkaufen. Es gibt eine gute Chance, die es bereits kompromittiert oder im Besitz von anderen Menschen. Wir haben keine gute Möglichkeit des Umgangs mit Vertrauen und jetzt Geschäftsführer. Und alle möglichen Leute werden diesen Code verwenden.

Die andere Frage, die in den Medien Anfang dieses Jahres mit dem FREAK Angriff brach, ist, dass viele Maschinen mit Backdoors vorinstalliert. Diese werden in Regierung auf Wunsch machen es einfacher für Strafverfolgungsbehörden und Nachrichtendienste, Gegner zu verfolgen gebacken. Aber leider sind Hintertüren auch Sicherheitslücken, denen jeder nutzen kann. Saitta sagt:

Ich denke, eine Sache, die wirklich wichtig zu verstehen ist, dass wenn Sie ein Netzwerk wie ein Handy-Netz ein monitoring-System integriert, oder in ein Kryptosystem jeder in dorthin kann. Sie haben eine Schwachstelle in das System integriert, und sicher, können Sie den Zugriff ein wenig Steuern. Aber am Ende des Tages, eine Hintertür ist eine Hintertür, und jemand kann durch sie hindurchgehen.

(3) auch die beste Software hat Sicherheitslücken

Viele von uns vorstellen, dass ausreichend gute Software und Netzwerke völlig sicher sein können. Wegen dieser Haltung ärgern sich viele Benutzer, wenn die Maschinen oder Dienstleistungen, die sie nutzen erweisen sich als anfällig für Angriffe. Nach allem, wenn wir einem sicheren Auto, warum keine safe Telefon gestalten können? Ist nicht es nur eine Frage der Technik und Wissenschaft richtig?

Aber Parisa Tabriz erzählte mir per e-Mail, die Ihnen Sicherheit in der Informationstechnik auf diese Weise nicht anschauen können. Tabriz ist der Ingenieur, der Googles Chrome Security Team leitet, und sie glaubt, dass Informationssicherheit eher Medizin – ein bisschen Kunst und Wissenschaft – eher als reine Wissenschaft. Und zwar deshalb, weil unsere Technologie wurde von Menschen und von Menschen mit sehr unwissenschaftlichen Motivationen ausgenutzt wird. Sie schreibt:

Ich denke, Sicherheit in der Informationstechnik ist ein viel wie Medizin – es ist eine Kunst und Wissenschaft. Vielleicht deshalb, weil Menschen explizit Technologie und das Internet aufgebaut haben. Wir gehen davon aus, wir sollten in der Lage, sie perfekt zu bauen sein, aber die Komplexität der was wir gebaut haben und nun hoffen, fast sicher scheint unmöglich. Sicherung es müssten wir Null Fehler haben, und das bedeutet, dass die Wirtschaft sind nicht auf der Seite der Verteidiger. Die Verteidiger müssen sicherstellen, dass alle Software sie verwenden oder schreiben (in der Regel viele Millionen Zeilen Code, wenn Sie das Betriebssystem zu betrachten), gibt es Null Fehler während der Angreifer nur einen Fehler zu finden.

Es werden immer Fehler in der Software. Eine Teilmenge dieser Fehler wird Sicherheit auswirken. Die Herausforderung ist, herauszufinden, welche Ressourcen über die Festsetzung zu verbringen, und eine Menge davon basiert auf vermeintliche Bedrohungsmodelle, von die wahrscheinlich mehr Einblick in die Volksrepublik Motivationen, wie Kriminalität, Überwachung, etc. profitieren würde.

RAND Corporation Computer-Sicherheitsexperte Lillian Ablon per e-Mail mir zu sagen, dass es einfach keine solche Sache wie ein völlig sicheres System. Der Verteidiger soll Angriffe teuer, als unmöglich zu machen:

Mit genügend Ressourcen gibt es immer eine Möglichkeit für einen Angreifer zu bekommen. Sie ist möglicherweise mit dem Satz "Es ist keine Frage der Zeit, wird" in Bezug auf ein Unternehmen immer gehackt/verletzt. Stattdessen ist das Ziel der Computersicherheit zu teuer für die Angreifer (in Geld, Zeit, Ressourcen, Forschung usw.).

(4) jede Website und app sollte HTTPS verwenden.

Du hast jedes Gerücht gehört, gibt es zu hören, über HTTPS. Es ist langsam. Es ist nur für Websites, die ultra-sicher sein müssen. Es funktioniert nicht wirklich. Alles falsch. Die Electronic Frontier Foundation Peter Eckersley ist ein Techniker, der die Verwendung von HTTPS seit mehreren Jahren forscht, und an der EFF-Projekt arbeiten. Er sagt, dass es ein gefährlicher Irrglaube, dass viele Websites und apps HTTPS nicht brauchen. Er per e-Mail, um auf diese zu erweitern:

Eine weitere schwerwiegende Fehleinschätzung ist Website-Betreiber, wie Zeitungen oder Werbe-Netzwerke, zu denken, "weil wir keine Zahlungen per Kreditkarte verarbeiten, unserer Website nicht HTTPS muss oder unsere app nicht HTTPS verwenden muss". Alle Seiten im Web müssen HTTPS, sein, denn ohne HTTPS es einfach für Hacker, Lauscher oder staatliche Überwachungsprogramme ist zu sehen, genau wie Menschen auf Ihrer Website lesen; welche Daten Ihre app verarbeitet wird; oder sogar zu ändern oder zu ändern, dass die Daten auf bösartige Weise.

Eckersley hat keine corporate Mitgliedschaften (EFF ist eine Non-Profit) und somit keine potenziellen Interessenkonflikt, wenn es um die Förderung von HTTPS. Er ist nur daran interessiert, Anwendersicherheit.

5. die Cloud ist nicht sicher – es schafft nur neue Probleme

Heutzutage ist alles Wolke. Halten Sie Ihre e-Mail-Adresse, sowie Ihre Fotos, Ihre IMs, Ihre medizinischen Aufzeichnungen, Ihre Bankdokumente und sogar Ihr Sexualleben. Und es ist dort tatsächlich sicherer, als Sie vielleicht denken. Aber es schafft neue Probleme, die, denen Sie vielleicht noch nicht gedacht. Sicherheitsingenieur Leigh Honeywell arbeitet für eine große Cloud computing Unternehmen und per e-Mail mir zu erklären, wie die Cloud wirklich funktioniert. Sie schlägt vor, dass Sie darüber mit einer bekannten physikalischen Metapher nachzudenken beginnen:

Ihr Haus ist dein Haus, und Sie wissen genau was die Sicherheitsvorkehrungen, die Sie gegen Eindringlinge getroffen habe- und was sind die vor-und Nachteile. Du hast einen Riegel? Eine Alarmanlage? Gibt es Bars an den Fenstern, oder hast du dich entschieden gegen jene, weil sie mit Ihrem Dekor stören würde?

Oder wohnen Sie in einem Mehrfamilienhaus, wo einige dieser Dinge für Sie verwaltet werden? Vielleicht gibt es eine Person an der Rezeption Sicherheit oder eine Schlüsselkarte Zugang pro Etage. Ich lebte einst in einem Gebäude, wo Sie Ihre Karte in die einzelnen Etagen auf den Aufzug benutzen musste! Es war ziemlich ärgerlich, aber es war auf jeden Fall sicherer. Der Wachmann erhalten die Bewegungsmuster der Bewohner kennen, werden möglicherweise (wenn auch nicht immer, natürlich!) Eindringlinge zu erkennen. Sie haben mehr Daten als jeder einzelne Hausbesitzer.

Setzen Ihre Daten in der Cloud ist irgendwie wie das Leben in diesem sicheren Mehrfamilienhaus. Außer seltsamer. Honeywell fortgesetzt:

Cloud-Dienste sind in der Lage, Daten über ihre Kunden zu korrelieren, nicht schauen Sie sich die Möglichkeiten, die ein Individuum gezielt. Sie dürfen nicht [steuern den Zugriff auf die Stelle wo] Ihre Daten gespeichert werden, aber es ist jemand an der Rezeption des Gebäudes 24/7, und sie sehen gerade die Protokolle und Nutzungsverhalten sowie. Es ist ein bisschen wie Herdenimmunität. Eine Menge Sachen springt sofort an [Verteidiger]: Hier ist eine einzelne IP-Adresse protokollieren in einen Haufen von verschiedenen Konten in einem völlig anderen Land als eines dieser Konten in von je zuvor protokolliert wurden. Ach ja, und jeder dieser Konten bekam eine bestimmte Datei gestern – vielleicht diese Datei war bösartig, und alle diese Konten habe eingebrochen?

Aber wenn es ein gezielter Angriff handelt, werden die Zeichen subtiler. Wenn Sie versuchen, ein Cloud-System zu verteidigen, suchst du nach Nadeln im Heuhaufen, weil man nur so viele Daten zu handhaben. Gibt es viel Hype um "big Data" und Machine learning-gerade jetzt, aber wir fangen gerade an zu finden Angreifer subtile Fußabdrücke an der Oberfläche. Ein erfahrener Angreifer wissen, wie man ruhig und nicht zu bewegen auf den Weg der Muster-Detection-Systeme Sie geschaffen.

Das heißt, werden einige automatisierte Angriffsmethoden überdeutlich in ein Cloud-System. Aber es wird auch leichter zu verbergen. Honeywell besagt, dass Benutzer müssen die Gefahren zu berücksichtigen, die, denen Sie ernsthaft besorgt sind, bei der Wahl zwischen einem Cloud-Dienst und ein home-Server:

Cloud-Dienste sind sehr viel komplexer Systeme als, sagen wir, eine Festplatte in Ihrem Computer oder einem e-Mail-Server läuft in Ihrem Kleiderschrank gesteckt. Gibt es weitere Orte, die Dinge falsch, mehr bewegliche Teile gehen können. Aber gibt es immer mehr Menschen zu pflegen. Ist die Frage, die Leute sollten sich Fragen: würde ich einen besseren Job läuft dies selbst tun, oder dass jemand mit mehr Zeit, Geld und Know-how dafür? Wer glaubst du, wenn Sie denken über gehackt wird, ist es der NSA, zufällige Spieler Assholes, eine missbräuchliche Ex-Partner? Ich lief meine eigenen e-Mail-Server seit vielen Jahren und wechselte schließlich zu einen gehosteten Dienst. Ich kenne Leute, die auf Google Mail und Outlook.com zu arbeiten und sie tun einen erheblich besseren Job bei e-Mail-Servern laufen, als ich jemals getan habe. Es ist auch die Zeit Kompromiss – e-Mail-Server zu betreiben ist miserable Arbeit! Aber für manche Menschen ist, die es das Wert ist, aber weil NSA Überwachung wirklich etwas ist sorgen über.

6. Software-Updates sind entscheidend für Ihren Schutz

Es gibt wenige Dinge im Leben ärgerlicher, als das kleine Popup-Fenster, das Sie daran erinnert, dass Updates erforderlich sind. Oft musst du schließen Sie Ihr Gerät, und die Updates können sehr lange dauern. Aber sie sind oft das einzige, was zwischen Ihnen und einem Bösewicht Besitz steht. Ciscos O'Donnell sagte:

Diese Software-Update-Nachrichten gibt es [nicht] nur um Sie zu ärgern: die Häufigkeit von Softwareupdates treibt weniger durch neue Software-Funktionen und mehr, weil einige sehr obskure Software-Fehler, die ein Angreifer ausnutzen kann, um die Kontrolle über Ihr System zu erlangen. Diese Software-Patches beheben Sie Probleme, die öffentlich identifiziert und wahrscheinlich bei Angriffen in der freien Wildbahn verwendet wurden. Sie würden nicht tagelang gehen ohne Reinigung und Bandagierung eine schwärende Wunde am Arm, würden Sie? Tu das nicht auf Ihren Computer.

(7) Hacker sind keine Verbrecher

Trotz jahrzehntelanger Beweis gegenteilig, denken die meisten Menschen von Hackern als die bösen Gegner, die nichts anderes als ihre digitale Güter stehlen zu wollen. Aber Hacker können weiße Hüte tragen sowie die schwarze – und die weißen Hüte in Systeme zu brechen, um dorthin zu gelangen, bevor die bösen Jungs tun. Sobald die Schwachstellen von Hackern identifiziert wurden, können sie gepatcht werden. Google Chrome Tabriz sagt einfach:

Auch sind Hacker keine Kriminellen. Nur weil jemand weiß wie man etwas kaputt geht, bedeutet nicht, dass sie dieses Wissen nutzen, um Menschen zu verletzen. Viele Hacker Dinge sicherer machen.

O' Donnell betont, dass wir Hacker brauchen, weil Software allein Sie schützen kann. Ja, antivirus-Programme sind ein guter Anfang. Aber am Ende Sie Sicherheitsexperten wie Hacker zur Verteidigung gegen Gegner, die immerhin sind Menschen:

Sicherheit geht es weniger um Gebäude, Mauern und Informationen über das Aktivieren der Wachleute. Defensive Werkzeuge allein können nicht aufhören, einen engagierten, gut ausgestatteten Angreifer. Wenn jemand in schlecht genug, werden sie alle Sicherheits-Tool kaufen, das Ziel haben kann und testen ihre Angriffe gegen ihre simulierten Version von das Zielnetzwerk. Bekämpfung der dies erfordert nicht nur gute Tools, aber gute Leute, die wissen, wie man mit den Hilfsmitteln.

Rands Ablon fügt hinzu, dass böswillige Hacker selten die Bedrohung, die sie durchgedreht sind sind um zu sein. Stattdessen kommen die Bedrohung von Menschen, die Sie nicht vermuten – und ihre Motivationen können weit mehr als bloße Diebstahl kompliziert sein:

Ein großer Teil der Zeit ist ein interner Mitarbeiter oder Insider ebenso große Bedrohung und bringen ein Unternehmen in die Knie – absichtlich oder unabsichtlich. Darüber hinaus gibt es verschiedene Arten von externen Cyber Bedrohung Akteure (Cyberkriminelle, staatlich geförderte, Hacktivisten) mit unterschiedlichen Motivationen und Fähigkeiten. Zum Beispiel hatte die Cyberkriminellen, die in Ziel- und Hymne gehackt sehr unterschiedliche Motivationen, Fähigkeiten, etc. als die staatliche Akteure, die in Sony Pictures Entertainment gehackt.

(8) Cyber-Attacken und Cyberterrorismus sind äußerst selten

Möglichst vieler Experten sprach ich mit sagte, ist Ihre größte Bedrohung jemand in Ihre Konten zu brechen, weil Sie eine beschissene Passwort haben. Aber das hindert Menschen aus Angst ausgeflippt über "Cyber-Attacken", das sind tödlich. Ablon sagt, dass diese Art von Angriffen sehr unwahrscheinlich:

Ja, es gibt Möglichkeiten, hack in ein Fahrzeug von überall in der Welt; Ja, in der Nähe lebenswichtige medizinischer Geräten wie Herzschrittmachern und Insulinpumpen oft haben IP-Adressen oder sind mit Bluetooth-fähigen aber erfordern häufig diese Art von Angriffen Zugang und Exploits, die sind ziemlich ausgereift, die Zeit zu entwickeln und umzusetzen. Das heißt, wir sollten nicht ignorieren die Millionen von angeschlossenen Geräten (Internet der Dinge), die unsere Angriffsfläche erhöhen.

Im Grunde, befürchten viele Cyber-Attacken aus dem gleichen Grund, dass sie fürchten, dass Serienmörder. Sie sind die gruseligsten mögliche Bedrohung. Aber sie sind auch am wenigsten.

Für Cyberterrorismus Ablon schreibt einfach, "Cyberterrorismus (bis jetzt) existiert nicht... was Cyberterrorismus heute zugeschrieben wird, ist eher Hacktivismus, z. B. Zugang zu CENTCOM Twitter-Feed und Entsendung ISIS Propaganda."

9. Darknet und Deepweb sind nicht dasselbe

Ablon schreibt, dass eines der wichtigsten Probleme, die sie mit Medienberichterstattung über Cyber-Kriminalität hat den Missbrauch der Begriffe "Darknet" und "Deepweb."

Sie erklärt, was die Begriffe wirklich bedeuten:

Der Deepweb bezieht sich auf Teil des Internets, speziell des World Wide Web (sodass alles, was das Www beginnt), die nicht indiziert durch Suchmaschinen, so dass von Google nicht zugegriffen werden kann. Die Darknet bezieht sich auf nicht-"Www" Netzwerke, wo Benutzer können separate Software darauf zugreifen. Zum Beispiel, Seidenstraße und vielen illegalen Märkten hosted on [Darknet] Netzwerke wie I2P und Tor.

So erhalten Sie einen Kennwort-Tresor, verwenden Sie Zweifaktor-Authentifizierung zu, besuchen Sie nur Websites, die HTTPS zu verwenden, und aufhören, sich Sorgen über sehr komplizierte Cyber-Angriffe aus dem Darknet zu. Und denken Sie daran, dass Hacker sind hier um Sie zu schützen – die meiste Zeit, sowieso.

Dieser Artikel erschien ursprünglich im März 2015 und wurde aktualisiert.