हम सब खराब हो गए हैं, लेकिन हम निराशावादी नहीं हैं - टेकक्रंच - सामाजिक मीडिया - 2019

Anonim

हम इतने बर्बाद हो गए हैं कि यह लगभग मजाकिया है, और हमेशा रहा है। चिंता मत करो, मैं राजनीतिक नहीं हूँ!

ठीक है, बिल्कुल नहीं। मैं इंटरनेट सुरक्षा राज्य के बारे में बात कर रहा हूं, जो कि हमेशा के रूप में, विनाशकारी-verging-on-cataclysmic है। क्या आप रूसी हैकर्स के बारे में चिंतित हैं? हा! हैक होने के लिए आपको बहुत भाग्यशाली होना चाहिए। हमें सभी इतने भाग्यशाली होना चाहिए कि एक कार्यात्मक इंटरनेट है जिसे वे हमें हैक करने के लिए उपयोग कर सकते हैं।

खैर, ठीक है, आपको रूसी हैकर, और ransomware, और प्रमाण पत्र प्राधिकरणों के बारे में भी चिंतित होना चाहिए, और - यदि आप सभी उच्च प्रोफ़ाइल - भाले-फ़िशिंग और डूक्सिंग पर हैं, और, ठीक है, तो अन्य सामानों का पालन करें। इसके बारे में चिंतित होने के लिए बहुत कुछ है।

लेकिन आपको सबसे ज्यादा चिंतित होना चाहिए, निराशा, सीखा असहायता, और सुरक्षा दुनिया में सर्वश्रेष्ठ और अच्छे के बीच स्पष्ट अनैतिक शत्रुता है। हो सकता है कि हम सबकुछ ठीक नहीं कर सकें, लेकिन अभी भी बहुत सी अपेक्षाकृत सरल चीजें हैं जो हम कर सकते हैं - लेकिन नहीं कर रहे हैं - हमारे जीवन को बेहतर बनाने के लिए।

आइए बुरी खबरों से शुरू करें: हर कोई एक अच्छी आपदा से प्यार करता है। आइए मिराई बोनेट से शुरू करें और यह चीज चीजों के इंटरनेट के बारे में क्या कहता है।

संक्षेप में: बहुत सारे आईओटी उपकरणों के पास अनिवार्य रूप से कोई सुरक्षा नहीं है, और / या सार्वजनिक रूप से ज्ञात फैक्ट्री-मानक पासवर्ड के साथ तैनात हैं, और इसलिए अपहरण करना बेहद आसान है। दुर्भावनापूर्ण हैकर्स आसानी से ऐसे उपकरणों के भारी संख्या में लेने के लिए मिराई नामक मैलवेयर का उपयोग कर सकते हैं, उन्हें एक बोनेट में बदल सकते हैं, और अलग-अलग साइटों को बंद करने के लिए उनका उपयोग कर सकते हैं - या पूरे इंटरनेट का एक महत्वपूर्ण स्वाभाविक - वितरित-इनकार सेवा के हमलों के साथ, यानी अपने स्वयं के यातायात के साथ तारों में बाढ़ आ रही है कि कुछ और नहीं हो सकता है।

इस बारे में वास्तव में बहुत कुछ नहीं किया जा सकता है। मैथ्यू गेटेट के पोस्टमॉर्टम को उद्धृत करने के लिए:

मैंने एक बात लिखा है कि क्यों आईओटी बोनेट मूल रूप से एक प्रदर्शन है कि हम पूरी तरह से बर्बाद हो गए हैं: //t.co/ta2JdnWgqT

- मैथ्यू गेटेट (@ mjg59) 22 अक्टूबर, 2016

हम पहले से टूटे हुए उपकरणों को आसानी से ठीक नहीं कर सकते हैं, हम आसानी से अधिक टूटे हुए डिवाइसों को शिप करने से नहीं रोक सकते हैं और हम आसानी से गारंटी नहीं दे सकते कि हम भविष्य के उपकरणों को ठीक कर सकते हैं जो टूटा हुआ है। एकमात्र समाधान जिसे मैं बिल्कुल देख रहा हूं, लोगों को कटौती करने के लिए आईएसपी की आवश्यकता होती है, और इसमें बहुत दर्द होता है। कठोर वास्तविकता यह है कि यह लगभग निश्चित रूप से केवल हिमशैल की नोक है, और इससे पहले कि वे बेहतर हो जाएं, चीजें ज्यादा खराब हो जाएंगी।

इस विषय पर और भी चिंताजनक होने के लिए, सुरक्षा की किंवदंती ब्रूस श्नीयर के निबंध "कुछ लोगों को सीखना कैसे इंटरनेट पर लेना है, " सामान्य विशिष्टता के साथ, हालिया घटनाओं से पहले:

कोई भी उन कंपनियों की कोर रक्षात्मक क्षमताओं का व्यापक परीक्षण कर रहा है जो महत्वपूर्ण इंटरनेट सेवाएं प्रदान करते हैं

यह एक राष्ट्र के सैन्य साइबर कमांड की तरह लगता है कि साइबरवार के मामले में अपने हथियार को कैलिब्रेट करने की कोशिश कर रहा है

हम इसके बारे में क्या कर सकते हैं? कुछ भी सच नहीं।

यह समस्याओं की एक नई श्रेणी नहीं है। शनीयर ने अठारह साल पहले एक और प्रसिद्ध निबंध लिखा था, जिसका शीर्षक है "इंटरनेट पर लाने के लिए यहां क्लिक करें।":

चूंकि दुनिया हमेशा निर्माणाधीन इंटरनेट पर व्यवसाय करने लगती है, इसलिए हमें सिस्टम को वास्तविक खतरों को समझने की आवश्यकता है

जब उन्हें ज्ञात हो जाता है तो हमें सुरक्षा त्रुटियों को ठीक करने की आवश्यकता होती है, और जब तक प्रेस कवरेज खत्म नहीं हो जाता तब तक समस्या होंठ सेवा न दें।

जैसा कि फ्रांसीसी कहते हैं: अधिक चीजें बदलती हैं, उतनी ही वे वही रहती हैं। अंतर यह है कि, 1 99 8 के विपरीत, अब तक हमारे अधिकांश जीवन इंटरनेट पर भविष्यवाणी की गई हैं। (यहां तक ​​कि, या शायद विशेष रूप से, राजनीति: हालिया अमेरिकी राष्ट्रपति चुनाव में खेले जाने वाले ईमेल, ट्विटर और नकली फेसबुक समाचारों की प्रमुख भूमिका पर विचार करें।)

हैकर्स की लोकप्रिय छवि बीस वर्षों में ज्यादा नहीं बदली है: छायादार पर्यवेक्षक जो कुछ कीस्ट्रोक के साथ, वैश्विक वैश्विक आधारभूत संरचना को कम कर सकते हैं, अपने ईमेल में तोड़ सकते हैं, या अपने फोन और / या कंप्यूटर को हाइजैक कर सकते हैं, और आप कुछ भी नहीं कर सकते इसके बारे में करो मुख्य परिवर्तन यह है कि इन दिनों पर्यवेक्षक सैन्य वर्दी पहन सकते हैं। और, वास्तव में, अगले कुछ वर्षों में हमारे रीढ़ की हड्डी ऑनलाइन आधारभूत संरचना की रक्षा होगी

चुनौतीपूर्ण।

लेकिन निराशाजनक बात यह है कि, आम तौर पर, हम अलग-अलग और उद्योग दोनों के रूप में ऐसा कर सकते हैं, "जब वे ज्ञात हो जाते हैं तो सुरक्षा त्रुटियों को ठीक करें।" ईमेल अनुलग्नकों का इलाज करें, यहां तक ​​कि उन लोगों से भी जो आप सोचते हैं, जहरीले होने तक, अन्यथा साबित होने तक, खासकर यदि आप एक कार्यकर्ता, पत्रकार, राजनीतिक आकृति आदि हैं।

वैकल्पिक रूप से: अपने विशेषाधिकार के बावजूद, चुनावी राजनीति में शामिल होने के लिए अब आवश्यकता है कि आप opsec को गंभीरता से लें।

- जेरेमी ज़िमर (@ जेरेमीज़िमर) 5 नवंबर, 2016

बिना ईमेल के बजाए एंड-टू-एंड एन्क्रिप्शन के साथ मैसेजिंग का समर्थन करें। कम से कम एक पासवर्ड प्रबंधक का उपयोग करने पर विचार करें। और ज़ोड के प्यार के लिए, दो-कारक प्रमाणीकरण को चालू करें, जो आश्चर्यजनक रूप से, अभी भी कुछ हद तक विवादास्पद सलाह है। सुरक्षा उद्योग वर्तमान में एक और फ्रांसीसी चरण को खत्म करने के बीच में है: "सर्वश्रेष्ठ का दुश्मन सबसे अच्छा है।"

समस्या यह है कि दो-कारक प्रमाणीकरण में उपयोग किए जाने वाले "दूसरे कारक" में अक्सर एसएमएस के माध्यम से आपके फोन पर भेजे गए नंबर होते हैं, और वह एसएमएस - सामान्य रूप से आपके फोन नंबर की तरह - अपने आप में और असुरक्षित है। यह सच है। लेकिन अधिकांश लोगों के लिए, एसएमएस के माध्यम से दो-कारक प्रमाणीकरण अभी भी स्थिति पर एक बड़ा सुधार है।

मैंने पहले यह कहा है: एसएमएस 2 एफए अभी भी अविश्वसनीय रूप से महत्वपूर्ण है। गोव अभिनेता पहले से ही आपके मोबाइल का उपयोग कर सकते हैं, उन्हें ऐसा करने के लिए एसएमएस 2 एफए की आवश्यकता नहीं थी।

- डॉन ए बेली (@ डॉन एंड्रयूबाइली) 25 नवंबर, 2016

यदि आपके खतरे के मॉडल में सरकारें शामिल हैं, या क्रिप्टोक्रुरेंसी चोरों के अत्यधिक प्रेरित गिरोह शामिल हैं, तो हां, ज़ाहिर है, कुछ और सुरक्षित इस्तेमाल करें। हां, आपके प्रदाताओं को सभी Google प्रमाणक की तरह कुछ बेहतर तरीके से आगे बढ़ना चाहिए, अधिमानतः जल्द ही। लेकिन अगर आपका जीवन किसी भी तरह से बोर्न फिल्म जैसा नहीं है, तो इसके बारे में चिंता न करें। मेरा शब्द न लें, फेसबुक सीएसओ एलेक्स स्टैमोस को लें:

//twitter.com/alexstamos/status/802010749811847168

यह सच है कि मौलिक इंटरनेट आधारभूत संरचना विशेष रूप से किसी विशेष प्रकार के हमले के लिए कमजोर दिख रही है, और यह स्पष्ट नहीं है कि हम अल्प अवधि में इसके बारे में क्या कर सकते हैं। लेकिन यह भी सच है कि सुरक्षा दुःस्वप्न की पूरी श्रेणियों को सरल फिक्स के अधिक व्यापक उपयोग के साथ साफ़ किया जा सकता है: अधिक बार सॉफ़्टवेयर पैचिंग, बेहतर पासवर्ड प्रबंधन (लोगों और आईओटी उपकरणों के लिए समान रूप से), सर्वव्यापी दो-कारक प्रमाणीकरण, और परावर्तक ईमेल- लगाव से बचने के लिए।

हैकर्स अजेय पर्यवेक्षक नहीं हैं। (क्षमा करें, मेरे हैकर दोस्तों।) वे केवल इस तरह से प्रतीत होते हैं क्योंकि हम सामूहिक रूप से इतने लंबे समय तक सुरक्षा में इतनी भयानक रूप से भयानक रहे हैं। यह बदलने के लिए पिछले समय है।