我遇到的关于安全性不足的任何抱怨的外行反对论点似乎总是采用以下形式:至少可以说,这种回应令人感到沮丧。

你如何处理人们的这种反应?

我正在寻找具体的例子来说明这些例子可以表明在进行完全合法的活动时需要强大的安全性。我追求的是蜂窝网络的端到端通信中值得信任的加密,Tor或VPN等网络身份模糊服务,完整的数据彻底销毁等方面的示例。

我总是倾向于指出利比亚和埃及等州的社会起义,但这些事件往往会向我遇到的太多使用此论据作为“电视上发生的事情”而非真实事物的人呈现对他们或他们的个人自由有任何影响。因此,将其保留在第一世界的反论点在这里真的很有价值,它可能会伤害您或您的祖母。


这个问题是IT安全性每周问题。
阅读2011年10月10日博客条目以了解更多详细信息,或提交自己的每周问题。


评论

那一定意味着总统在做很多违法的事情……看看他拥有的所有安全。

放在一边,但是您怎么知道您是否在做违法的事情?甚至不计算条约,城市法律,县法律,州法律和部落法律,仅美国法典(即联邦法律)就包含50种书目中的27,000多页(其中已经提出了4种)。国会研究服务局表示,它无法计算当前的联邦犯罪数量。

我们只是知道,所有总统都在腐败,所有银行都在偷钱,而所有使用HTTPS的在线商人都必须出售价格过高的商品。我们还知道,以明文方式传输您的信用卡数据的在线商家必须诚实。

您也可以反驳“如果没有其他人在做非法的事情,则不需要安全。”

#1 楼


除非是小偷,否则无需锁定前门。


在所有相关方面都是相同的想法。

每个人都必须根据对风险的最佳判断,采取合理措施保护自己和财产免受可能伤害他或他财产的人的伤害。如果您居住在城市中,那么附近还有数十万个城市。这是有原因的。这也是您锁定互联网前门的原因。

评论


要求查看他们的工资单或健康记录;个人数据都是关于应保密的法律数据。

–未切片
2011年10月1日14:04

#2 楼

我首先想到的是问:“您有不想让别人拥有的有价值的东西吗?”

如果答案是肯定的,那么请继续进行以下操作:“您是否正在采取任何措施来保护它?

从那里您可以提出保护有价值的东西的方法(进行威胁建模,攻击建模等)。

评论


也很好。结合@Justice的前门锁,这是外行可以轻易消化的东西。

– Ian C.
2011-09-25 18:49

Bejtlich发布了有关建模差异的详细信息:taosecurity.blogspot.com/2007/06/…

–塔特·汉森(Tate Hansen)
2011年9月25日在20:07

#3 楼

正如米兰达权利所言:“您说的任何话都可以而且将在法庭上被用来对您不利”。警察给您授予Miranda权利后,他们立即说:“但是,如果您是无辜的,您为什么不与我们交谈?”。这导致许多人被定罪,因为在法庭上确实使用了针对他们的罪行。这是YouTube上的精彩视频,详细说明了为什么您永远不应该与警察交谈,尤其是在您无辜的情况下:http://www.youtube.com/watch?v=6wXkI4t7nuc在美国,较常见的犯罪是“阴谋”。黑客通常不会因真正的黑客活动而被定罪,而是阴谋。那是因为警察有聊天记录,讨论了袭击事件。即使您并没有真正参与其中,也无意参与黑客攻击,甚至试图劝阻您的朋友这样做,您也可能被判犯有“阴谋”。

评论


这实际上是一个很好的答案,不需要尝试改变对方的心态。事实是,没有做任何非法的事情就不足以确保您不会遇到大问题。 (任何关注法律与秩序的人都知道,当一个无辜的人妨碍起诉有罪的人时会发生什么。)

– David Schwartz
2011年9月26日,1:11

#4 楼

如果您不保护自己的系统,则可能会在各个司法管辖区被罚款或倒闭。具体示例:


保存个人客户数据。在英国,如果您不能适当地保护此数据,则可能会被罚款。
如果您处理信用卡数据且未实现适当的安全性,则可能会发现VISA / Mastercard会禁止您使用其服务。
如果您是SEC注册人,但未遵守Sarbanes-Oxley准则,则可能会受到罚款甚至更糟。 2010年的主题将启动有关安全性的对话。

评论


好的答案,但我认为OP会更多地寻求对“ Joe Home User”有价值的答案。

– Iszi
2011年9月26日于13:01

#5 楼

简单示例:


商业机密数据。这不是违法的(或者如果是的话,您应该换一份工作),但是如果机密性受到损害,则可以为竞争对手提供市场优势。如果那仍然太抽象,那就考虑一下因为泄露商业机密而被解雇的个人影响。
身份盗用。您可能没有做任何违法的事情,但是别人可以您的名义这样做吗?


#6 楼

安全不是要做非法的事情,而是要别人做非法的事情(会影响到您)。并可以尝试窃取客户。
如果您不粉碎文档,则有人可以使用所有这些信息对您的公司发起社会工程攻击,窃取R&D数据,原型,设计...

#7 楼

每当有人提出该声明时,我都会回答:“您不能相信世界上所有的人都遵守法律”。您的前门是敞开的,但据我们所知,犯罪分子和其他许多人可能出于各种动机进入您的前/后门-他们知道他们可能造成的伤害。

#8 楼


为什么守法公民需要强有力的安全保障?


个人需要保护自己的信息以控制自己的生活。我相信这个陈述听起来很极端,可以举几个简单的例子来说明。

示例1:

背景:您曾经是酒鬼。尽管您不再喝酒,但醉酒后会有大方的倾向。您通常还会携带大量现金。

马洛里知道:您曾经是酒鬼,醉酒时很慷慨,通常会携带大量现金。马洛里还怀疑只喝两三杯就可以喝醉了。

场景:您在一家也提供酒精饮料的餐厅遇到了一些朋友Alice和Bob,以及Bob的朋友Mallory。在您的会议期间,马洛里会拿到桌子上的苏打水,秘密地向苏打水中添加不可检测的酒精。爱丽丝和鲍勃离开。马洛里一直在讲一个关于她需要现金的悲伤故事。您给Mallory现金,却再也见不到她。

示例2:

背景:您是公务员。您工作的办公室有严格的政策,禁止员工发表违反现行法律的公开声明。您有一个12岁的孩子。

场景:一个受欢迎的社交网站的政策是不允许年龄在13岁以下的儿童拥有自己的帐户。您决定通过给孩子密码来与孩子共享社交网络帐户。您的孩子使用您的社交网络帐户公开发布有关特定法律的负面评论。当地媒体会发现该帖子,并了解您的真实姓名和您的工作地点。由于媒体的报道,您的主管发现有必要终止您的工作。

示例3:

背景:患病的祖母独自一人生活,收入很少。为了帮助她节省开支,您可以用便宜的VoIP服务代替她的传统电话服务。您的祖母没有电脑,只能通过电话进行所有银行业务。

方案:对手监视来自祖母服务提供商的VoIP呼叫,并定位发往银行电话号码的呼叫。您的祖母会从她的储蓄帐户到其支票帐户进行例行转账,并向银行代理商提供其帐号和安全代码。对手会记录您祖母的未加密电话,并获取其银行帐号和安全代码。下次您的祖母检查其帐户余额为零时,她的名字中的一张大额信用卡已被打开。

“无可掩盖”的谬论

安全性由三个公认的组件组成:机密性(机密性),完整性(未被损坏,修改或篡改)和可用性(您可以在需要时得到它)。

“无可掩盖”的论点只会对机密不利。在某些明显的情况下,个人希望某条信息是秘密的,而任何想要它的人都不容易获得。最简单的例子是银行卡的PIN码。任何拥有您的银行卡并且知道您的PIN的人都可以窃取您的钱。

其他明显的例子是传统的安全物品,例如警报代码,支票帐号以及锁或保险箱的组合。因此,“无所不能”的论点实际上是针对那些本身没有明显内在价值的活动中的信息。

让我们以手机通话为例。

惊喜派对

爱丽丝有一个朋友鲍勃,他喜欢惊喜的生日聚会。鲍勃的其他朋友包括卡尔和埃文。卡尔喜欢偷听手机通话。爱丽丝给埃文(Evan)打电话,为鲍勃(Bob)计划一个惊喜生日派对,卡尔(Carl)听了谈话。在聚会的一天之前,Carl告诉Bob有关聚会的计划。如果卡尔将聚会保密的话,鲍勃本来可以享受的娱乐价值现在已经消失了。卡尔披露爱丽丝(Alice)和埃文(Evan)之间的秘密对鲍勃(他不是秘密当事人)产生了负面影响。

典型的“无隐瞒”论点通常意味着秘密隐藏着不好的东西(非法,不道德或令人尴尬的东西),并且秘密的泄露对至少其中一个保存者具有负面影响。秘密。一些“无处掩饰”的论点认为,泄露秘密不会伤害任何人。前面的示例表明情况并非总是如此。

现在让我们来看一个匿名的例子。该大学经济困难,可以接受私人捐款。爱丽丝想匿名捐赠这所大学。爱丽丝与大学的财长鲍勃(Bob)离散地讨论了匿名捐赠的可能性。卡罗尔是大学董事会的另一名成员,他恶意地设法减少爱丽丝对董事会的影响。鲍勃向卡罗尔透露了爱丽丝的讨论。 Carol告诉除Alice以外的其他董事会成员,Alice试图通过进行大量匿名捐赠来在不知情的情况下赢得财政部的青睐。结果,爱丽丝做出的公众贡献要小得多。

反对匿名的“无可掩盖”论点意味着,希望保持匿名的人必须这样做,因为他们在匿名时采取的行动是不良行为(违法,不道德或尴尬)。匿名向有需要的大学捐款是很难的。在这种情况下透露秘密会伤害大学,甚至可能伤害爱丽丝。此示例还说明了过度开放的问题的一部分,第三方可能会误解信息或行为。

#9 楼

也许您可能认为自己没有什么可隐藏的,也许您实际上没有做过任何非法,不道德或令人尴尬的事情(感谢@thisjosh的“隐藏的东西”类别-在那里很好的解释)。但是,这是您的意见。他人的意见可能不同意。那些其他人可能会利用您缺乏安全性来获取信息,以说服与他们有相同想法的人们您做了可耻的事情。无论您是否同意他们的立场,这都可能对您的生活造成不良影响,从轻微的不便到极端的悲剧。在法律,道德和令人愉悦的立场上,意见确实会发生变化-法律以及在某些情况下甚至是被广泛接受的道德守则也会发生变化。您现在所做的似乎公正,公正且完全在您的权利之内的操作,以后可能会被视为冒犯他人或冒犯他人。这些其他人可能处于这样的权威地位,可以针对这些事情制定法律,或者动摇公众舆论反对它们。然后,揭露您过去的行为(或正在进行的行为,如果您继续按照自己的个人信念行事)可能会导致尴尬甚至入狱甚至更糟。如果您在保护自己的隐私和匿名方面未采取良好的安全措施,那么您就是在有效地信任全世界的所有人(朋友,家人,政府和普通大众-别管那些实际上可能会抢走您的人),无论是现在还是将来,都将以适合您最大利益的方式处理您的个人信息和身份信息。您相信世界现在就这样做吗?您相信从现在起20年后的世界会保持不变吗?

#10 楼

关于为什么安全性适用于服务提供商的许多答案-但是它适用于Internet涉及的所有各方。并招募到僵尸部队?如果有人使用您的WiFi路由器在网上银行帐户中进行欺诈交易怎么办? AFAICS,看来您在大多数辖区中都是。

奇怪的是,大多数辖区对您将装满武器的武器留在房屋周围而不是放在锁柜中的看法并不明确。

类似地,如果您经营的网站未处理任何客户提供的数据,并且该网站遭到破坏,则可能会将其用于您从未打算的目的。 />

评论


出色的论点适用于“普通乔”的财产。更不用说不关心被跟踪了。

– Dan Dascalescu
19年1月23日,下午1:56

#11 楼

这显示出对安全性的根本误会。说它只是用来阻止非法活动在里面是fritzl-eqsue。

评论


@woliveirajr-参见en.wikipedia.org/wiki/Fritzl_case-臭名昭著的案子,罪犯将非法活动藏在里面。

–Rory Alsop♦
2011年10月7日12:37

#12 楼

政治上的回应-将对手置于防御... (因为当您不想破坏个人/专业关系时)就是开个玩笑(可以说是为了缓和刺戳)...

“身份窃贼的最好朋友!“

或者,当更正式地表达思想时,并且冒犯罪的风险最小(例如,向您的老板)...

”如果我们无法使用强大但具有成本效益的加密解决方案来全面保护我们的数据,则我们可能会承担重大责任。“强制使用加密技术来保护敏感的客户数据。”

#13 楼

您可能会问:“为什么在使用银行帐户时仅输入姓名和帐号就够了?”

评论


这不是一个有效的论据,因为我有与别人回答的个人经验,“因为我被迫”。

– schroeder♦
19年1月23日在8:44

#14 楼

我会说“你们做白痴会让我们其余的人失去安全感”,然后通过引用LastPass的惨败来跟进,如果他们每个人都有相当强壮的身材,他们的小违规就不算一堆豆子密码。但是,由于一些bozos拥有字典单词,因此我们所有人都处于(轻微)风险中。


因此,如果坏人获得了数据库,并且用户的主密码很弱,那么就有可能在一段时间内进行暴力攻击。因此,出于谨慎的考虑,LastPass的人说,好吧,只需更改您的主密码即可。很抱歉给您带来不便。您无需更改任何其他站点密码,只需更改一个主密码即可。这样一来,即使没有采取任何行动,也不会采取任何行动,而且我们也不知道采取了什么行动,即使遭受暴力攻击,仍然不会受到任何损害。


来自:https://www.grc.com/sn/sn-301.htm

而不是将整个成绩单粘贴到这里,如果您有兴趣,可以阅读更多内容,或收听播客。

我从讨论中删除的想法是,如果每个人都拥有一个强大的主密码,那么强行攻击是不可行的。从密码理论的角度来看,我没有能力解释为什么会这样,但是如果您查看链接,则该信息可能就在其中。

评论


您可以链接到LastPass惨案并对其进行扩展吗?

– Dan Dascalescu
19年1月23日,下午1:53

@DanDascalescu,我已经修改了上面的答案。

–戴尔
19年2月12日在22:03



该报价无济于事,因为有些人密码错误,所以每个人都面临风险。

– schroeder♦
19年2月12日在22:14

@schroeder,我无法向您解释密码学,我只能说是知道这些事情的人(史蒂夫·吉布森)说的是真的。对我来说足够了。

–戴尔
19年2月12日在22:22

我的意思是,那根本不是吉布森所说的。您似乎得出的结论与报价所说的不同。

– schroeder♦
19年2月13日在7:46

#15 楼

我会回答,这与(谬误)推理相同:


“您没有什么可隐藏的,对吗?”


被警察用来欺骗您,他们同意警察对您采取非法行动。

观看,例如:如何拒绝警察搜索

#16 楼

正如爱德华·斯诺登(Edward Snowden)所说(视频):
“争辩说您不关心隐私权是因为您没有什么可隐瞒的,与说您不在乎言论自由是因为您无话可说“。

#17 楼

作为守法公民,您通常会与他人达成协议,在其中您承诺会保守他人的秘密。

大多数员工都让员工签署表格,使员工有责任保护雇主的某些机密。如果员工随后无法通过不安全的方式处理与雇主有关的信息来履行职责,那么他们就不是守法公民。

在欧洲,GDPR要求许多人保护他们可以访问的其他人的信息。在欧洲可能无法成为守法公民而不关心安全,因为GDPR的规定容易受到违反。
对于美国的许多专业人士来说,也有法律要求他们保护信息。 />
除了保密的法律要求外,保护您的朋友和家人的秘密也有社会义务。如果您违反了朋友和家人的秘密,则可能不会违反法律,但会违反道德规范。