Sérfræðingur vegur að því hvað varðar netöryggi


Hér á vpnMentor teljum við að netöryggi sé forgangsverkefni, ekki eftirhugsun. En hver er ábyrgur fyrir því að tryggja upplýsingar þínar þegar þú deilir þeim á netinu – þú, eða fyrirtækinu sem þú deilir þeim með?

Ég átti möguleika á að ræða við Sean Wright, einn fremsti sérfræðingur í Bretlandi í upplýsingaöryggi og leiðtogi kafla í Opna vefumsóknaröryggisverkefninu (OWASP) í Skotlandi.


OWASP merki

Hver er bakgrunnur þinn og hvernig byrjaðir þú á netöryggi?

Ég er einn af leiðtogum OWASP Skotlands kafla og ég vinn hjá stóru fyrirtæki í verkfræðideild þeirra. Ég er ábyrg fyrir öryggisforritunum á netinu, öruggri þróun forritsins, gögnum um gögnum og öllu því sem ég er fyrst og fremst einbeittur að.

Á mínum eigin tíma stunda ég smá rannsóknir og samskipti við hliðarverkefni á netinu. Ég byrjaði að fikta við hlutina hér til hliðar, en til að byrja með var það ekki mikið hvað varðar netöryggisstörf – né var reynsla mín svo mikil. Svo ég var verktaki í fjölmörg ár. Síðan fékk ég boðið starf hjá núverandi fyrirtæki mínu sem verktaki, sem hefur virkað sem eins konar vorborð til að komast í öryggismál.

Þú vinnur lítillega. Hvað finnst þér vera áskoranir þess? Hvernig tryggir þú tækin þín utan skrifstofunnar?

Þegar það kemur að því að vinna sjálft veitir fyrirtækið okkar allt sem ég þarf. Ég veit ekki allar smáatriðin, ég læt þetta bara eftir þeim – þar sem ég hef litla stjórn á þessu auk þess sem þetta liggur utan ábyrgðar minnar.

Þegar kemur að persónulegu hlutunum mínum þá verð ég svolítið ofsóknaræði. Ég nota AlienVault (ókeypis útgáfa þeirra) og viðbótaröryggislög, svo sem Pi-Hole. Það eina sem ég get ekki tryggt eins og ég vil er leiðin mín vegna veitunnar minnar.

Heima nota ég persónulegt VPN, ásamt ProtonVPN. Svo ef það er eitthvað vandamál með VPN heima hjá mér, þá get ég bara skipt yfir í það. Þegar ég er á ferð eru hlutir eins og BitDefender, en í raun og veru nota ég aðallega Linux þegar ég er í burtu.

Svo myndirðu segja að VPN myndi ná til meirihluta netöryggismála þegar það er ekki heima?

Já. Eitt af því sem er ógnvekjandi er að ég notaði WiFi ananas í anddyri hótelsins einu sinni. Ég var ekki einu sinni að reyna að spilla neinum netum – ég var bara að setja upp aðgangsstað til eigin nota. Og innan um fimm mínútna tíma hef ég nú þegar fimm viðskiptavini sem tengjast því.

Önnur vandamálin við þráðlaust er að tæki eru stöðugt að leita að þráðlausum netum. Þannig að ef þú ert nú þegar tengdur við ókeypis, opinn netkerfi mun tækið stöðugt smella og reyna að tengjast því. Ef þú ert með eitthvað eins og WiFi ananas getur það sjálfkrafa sett upp ósvikinn þráðlausan netkerfi. Sem notandi sem er tengdur við almenna netið, myndir þú líklega vilja nota VPN – og þá yrði umferð þín færð í gegnum það.

Við skulum segja að þú sért tengdur við einn af þessum fölsuðum reitum, en þú ert að nota VPN í tækinu. Mun þetta vernda þig eða skilja þig viðkvæman??

Ef umferð þín er að fara yfir VPN og þú ert tengdur við einn af þessum fölsuðu heitum reitum verður öll umferð dulkóðuð. Tölvusnápurinn getur samt skoðað umferðina en það verður ruglað. Þess vegna eru hlutir eins og Transport Layer Security (TLS) einnig mikilvægir vegna þess að það er dulkóðun frá lokum til loka. Svo jafnvel segðu að þú notaðir ekki VPN heldur notaðir TLS – það er líka dulkóðað. Tölvusnápurinn gæti ekki gert neitt úr gögnum sem voru flutt.

Það sem þú myndir segja er mesta hættan sem þú sérð með nútíma netógnunum?

Fyrir mig kemur stærsti möguleiki á gölluðum kerfum við uppsetningu og viðhald gagnagrunna. Hér áður fyrr var nærri öllu hýst á staðnum (innan gagnavers stofnunarinnar) og jafnvel þó að þú tækir upp stillingarnar fyrir það voru líkurnar á því að gögn væru afhjúpuð opinberlega ólíkleg.

Flýtur áfram til dagsins í dag þegar þú ert með skýið, og þú getur séð aftur og aftur, fólk færir gagnagrunna yfir í skýjainnviði og stillir það ekki rétt. Allt í einu birtist gagnagrunnurinn opinberlega. Hlutir eins og Mongo-DB og ElasticSearch – sem verða betri hvað varðar öryggi, en upphaflega voru þeir ekki öruggir sjálfgefið.

Þessir gagnagrunnar hafa engar sjálfgefnar öryggisvarnir, svo sem staðfesting og heimild. Þegar þau verða fyrir internetinu eru öll gögn skyndilega aðgengileg almenningi án nokkurrar sannprófunar. Svo hver sem er með tiltölulega grunn tæknilega færni gæti fengið gögnin. Það er svo einfalt.

Hvernig heldurðu að flestar þessar villur eigi sér stað? Er það skortur á þekkingu, eða er það bara nógu auðvelt að gera mistök?

Ég held að það sé skortur á þekkingu þeirra, en það er líka eignastýring þeirra. Við getum séð aftur og aftur að fyrirtæki eru ekki með góðan og sterkan lista yfir eignir sínar, þar á meðal hvaða þjónustu þau hafa, hvaða hafnir hlutirnir keyra á og hvað er aðgengilegt hvar. Ef þú ert með sterka eignastýringu og uppgötvun, myndirðu greina að eitthvað er rangt stillt og getur tekið á því eins fljótt og auðið er. Oftar en ekki er það ekki fyrirtækið sem finnur þessi tilvik – það er einhver annar sem segir fyrirtækinu.

Það getur verið óánægð fyrir fyrirtæki, viss. En fyrir meðalnotandann, hvað er besta ráðið þitt svo að þeir geti verndað sig, svo að jafnvel ef þeir eru með gagnagrunn sem lekinn, gætu þeir dregið úr möguleikanum á ógnum?

Það eru nokkur atriði sem þú getur gert. Gakktu úr skugga um að þú hafir reglulega skoðað Have I Been Pwned. Þetta er þjónusta sem mun láta þig vita þegar brot hefur átt sér stað með persónuskilríkjum þínum (t.d. netfang og lykilorð). Það er ekki alltaf tafarlaust, en það er vissulega leið til að greina hvort upplýsingar þínar eru hluti af broti.

Útlánaeftirlit er einnig mjög gagnlegt vegna þess að mörg brot gætu verið notuð til loka dags fjárhagslegs ávinnings í lok spjallþráðsins.

Annað sem getur verið gagnlegt fyrir tölvusnápur er að nota lekið gögn í phishing tilraunum. Það er mikilvægt að hafa í huga tölvupóst frá vefsíðum þegar þeir biðja þig um að uppfæra reikningsupplýsingar þínar eða setja lykilorð þitt inn aftur. Ein stærsta uppljóstrunin sem þarf að leita að eru stafsetningarvillur, reyndar. Fyrir flesta er enska ekki móðurmál þeirra, svo að þær gera líka oft greinilegar málfræðilegar villur. Ef þú ert ekki viss skaltu fara beint á síðuna (sláðu inn slóðina í vafranum þínum frekar en að smella á tengil úr tölvupóstinum).

Þetta eru mjög góð hagnýt ráð. Það sem pirrar þig nú mest í heimi netöryggis og hvað myndir þú gera öðruvísi?

Það er allt of oft að öryggi er ígrundun. Gagnagrunnar ætti að vera öruggur sjálfgefið í stað þess að vera með öruggum hætti. Þegar málin birtast í fjölmiðlum allan tímann ættu skilaboðin að berast að þau þurfa að byrja að taka öryggi alvarlega.

Annar hlutur er þegar fyrirtæki láta á sér kræla eftir að rannsóknarmaður upplýsir þau eitthvað. Þeir þurfa að gera sér grein fyrir því að það er ekki gagnrýni á fyrirtæki þeirra. Þeir þurfa að vinna með rannsakandanum til að leysa málið því hann hjálpar þeim. Rannsakandinn gæti auðveldlega farið af stað og selt hann á myrkum vefnum eða hvað sem er, svo þeir eru í raun að hjálpa fyrirtækinu. Og fyrirtækið þarf einnig að sjá til þess að þeir vinni með rannsóknarmanninum og að minnsta kosti gefi þeim einfaldar þakkir.

Ég hef unnið í nokkrum þessara mála og þess vegna er ég svekktur yfir stöðu quo í þessu. Síðustu tvö árin hef ég líklega fundið um fimm eða sex mál og ég á ennþá ekki þakkir fyrir. [hlær] Að neita vandanum þýðir ekki að það hverfur.

Hvað gerir þú þegar þú ert ekki að reyna að tryggja heiminn?

Ég á fjölskyldu, svo að eyða tíma með fjölskyldunni er forgangsverkefni – en ég hef að vísu ekki unnið svona frábært starf undanfarið. Svo ég þarf að einbeita mér að því aðeins meira. Einnig að fara út í göngutúra og svona. Nokkur leikur á netinu. Ég hef samt reynt golf og mistókst hræðilega.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map