Miesiąc: styczeń 2022

Ujawnianie informacji przez Internet to pole bitwy. Programiści, prawnicy, decydenci, poinformowani użytkownicy sieci, obrońcy prywatności i firmy walczą po wszystkich stronach tego problemu. W międzyczasie typowi użytkownicy beztrosko przekazują poufne informacje za pomocą narzędzi online i bez wiedzy tych użytkowników ich komputery i przeglądarki internetowe generują informacje identyfikacyjne. W tym rozdziale omówiono techniki, które Ty i Twój pracodawca możecie teraz zastosować, aby zwiększyć swoją anonimowość i prywatność, a także porusza obiecujące obszary, które prawdopodobnie będą pomocne w przyszłości. Ta lista nie jest kompletna i nie jest zamierzona. Jednak opiera się na latach studiowania problemu. Dla praktyków zajmujących się bezpieczeństwem niektóre z tego, co proponuję, mogą brzmieć jak zdrowy rozsądek, ale uważam, że warto je podkreślić lub powtórzyć. Niezależnie od Twojego doświadczenia, wierzę, że znajdziesz kilka nowych pomysłów, które możesz zastosować. Oprócz abstynencji nie ma jasnego rozwiązania, które chroniłoby siebie i swoją firmę przed ujawnieniem informacji przez Internet. Możesz jednak zrobić kilka rzeczy, aby zmniejszyć zagrożenie. Niektóre są łatwe do wykonania, a inne trudniejsze, ale każda z nich zwiększa twoją ochronę. Oczywiście każdy środek zaradczy ma swoją cenę. Musisz ocenić, ile informacji udostępniasz, oraz rozważyć skuteczność i koszt środków zaradczych pod względem czasu, pieniędzy, utraty użyteczności i irytacji. Niestety nie istnieje jedno jasne rozwiązanie. Jeśli spróbujesz użyć wszystkich technik przedstawionych w tym rozdziale, stworzysz niemal nie do zniesienia doświadczenie przeglądania sieci. Zamiast tego musisz wybrać, które techniki zastosujesz. Jak powiedział Sun Tzu, słynny chiński strateg wojskowy: „Wygra, kto wie, kiedy walczyć, a kiedy nie”. Weź pod uwagę wagę, stopień i prawdopodobieństwo ryzyka, a następnie wybierz środki zaradcze, które pomogą zmniejszyć ryzyko do poziomu, który uznasz za akceptowalny, a jednocześnie umożliwią Ci korzystanie z sieci w efektywny i skuteczny sposób. Jednocześnie nie chcemy, aby środki zaradcze były tak szkodliwe dla firm internetowych, jak one mogą zagrażać narzędziom i innowacjom internetowym, które cenimy.

Protokół GKA, który spełnia częściowe utajnienie przekazywania, gwarantuje poufność klucza sesji, nawet jeśli niektóre sekrety są zagrożone. W konsekwencji liczba sekretów, które mogą zostać naruszone bez narażania klucza sesji, wydaje się oczywistym wyborem metryki do oceny protokołów GKA w odniesieniu do ich częściowej poufności przekazywania. Ale głębsze spojrzenie pokazuje, że czasami penetratorowi może być łatwiej zdobyć więcej sekretów, niż zdobyć jeden sekret. Na przykład w przypadku asymetrycznego protokołu grupowego Diffie-Hellmana 2 (A-GDH.2) penetratorowi łatwiej jest uzyskać parę sekretów niż pojedynczy sekret. Dlatego wprowadzono dokładniejszy miernik, a mianowicie DPFS. DPFS jest definiowany w następujący sposób: „DPFS protokołu GKA to najwyższe prawdopodobieństwo uzyskania klucza sesji, wyrażone jako prawdopodobieństwo utraty tajemnic.” Protokół o najniższej wartości DPFS ma minimalne ryzyko złamania klucza sesji, gdy tajne sekrety użyte w jego obliczeniach zostaną naruszone. Ponieważ przestrzenie pasm nie mają możliwości modelowania prawdopodobieństwa zdarzeń, model przestrzeni pasm jest rozszerzany, aby je zapewnić. Proponowany model opisano w następnym rozdziale.

Bezpośredni atak jest jedną z najbardziej podstawowych możliwości ataku. Bezpośredni atak może wystąpić w przypadku różnych systemów o różnych implikacjach i może być skierowany przeciwko artefaktom, w tym stacjom roboczym, serwerom i komponentom infrastruktury, takim jak routery i przełączniki telekomunikacyjne. Wiele narzędzi bezpośredniego kompromisu istnieje w domenie publicznej, dzięki czemu można je uzyskać i wykorzystać w przypadku pełnego zakresu zagrożeń. Publiczne witryny sieci Web są najczęstszym źródłem narzędzi i technik bezpośredniego ataku. Większość z nich została napisana w celu zapewnienia możliwości automatycznego ataku / testowania dla danej luki. Potencjalny wpływ bezpośredniego kompromitacji różni się nieco w zależności od charakteru bezpośredniego kompromisu i charakteru docelowego systemu. W systemie nie zapewniającym ochrony przed znanymi lukami w zabezpieczeniach, bezpośredni atak może pozwolić na pełne złamanie zabezpieczeń krytycznych komponentów infrastruktury, które mogą zostać użyte do odmowy lub pogorszenia jakości usług lub naruszenia integralności informacji zawartych lub przetwarzanych przez system. Tutaj kwestia łączności jest krytyczna. Fakt, że skompromitowany system sam w sobie nie jest elementem krytycznym, nie oznacza, że ​​kompromis jest nieistotny. W rzeczywistości najbardziej wyrafinowane ataki celowo unikają krytycznych systemów w początkowej fazie, aby uniknąć wykrycia za pomocą środków bezpieczeństwa. Zamiast tego nieszkodliwy system testowy lub inny rzadko używany system jest zagrożony i używany jako podstawa operacji / platformy ataku. Z tej stosunkowo bezpiecznej lokalizacji można zmapować, obserwować i ostatecznie zaatakować całą połączoną sieć. Należy również pamiętać, że wyrafinowani napastnicy nie zawsze atakują za pomocą swoich najbardziej wyrafinowanych narzędzi. Atakujący praktycznie zawsze wybierają ścieżkę najmniejszego oporu, o ile mogą to zrobić bez wykrycia, dlatego nawet atakujący z państwa narodowego z wyrafinowanymi narzędziami wykorzysta oczywiste możliwości bezpośredniego kompromisu, jeśli takie istnieją.

Firmy z obecnymi klientami muszą definiować MVP nieco inaczej niż startupy. W firmie Aetna przy opracowywaniu produktów używa się terminu „produkt o minimalnej sprzedaży”. W Yammerze kładziemy nacisk na słowo wykonalne. W porządku – nawet wymagane – jest nieco ponad minimum, aby stworzyć spójne doświadczenie.

Inaczej jest w przypadku start-upów

W przypadku startupów MVP to minimalna ilość produktu, która wywołuje nieneutralną reakcję. Dzieje się tak, ponieważ nowe firmy są narażone na inne ryzyko niż firmy o ugruntowanej pozycji. Jak mówi Steve Blank: „Pierwszego dnia startup nie ma klientów … Pierwszego dnia startup to inicjatywa oparta na wierze i domysłach”. W przypadku startupu pierwszym ryzykiem, które należy przezwyciężyć, jest: „Czy ktoś będzie wystarczająco zainteresowany, aby odpowiedzieć na ten pomysł?” Nawet najmniejsze potwierdzenie zainteresowania, takie jak kliknięcie linku lub przewinięcie strony, to coś, na co startup nie może liczyć. W przykładzie ze strony TripAdvisor może to być baner reklamowy, który użytkownicy klikają lub nie. Brak klikania jest reakcją neutralną: pokazuje, że ludzie nie są nawet na tyle ciekawi, by zauważyć potencjalny produkt. Z drugiej strony, klikanie tak naprawdę niewiele mówi. Mówi ci, że ludzie są zaciekawieni, trochę zainteresowani lub że zauważyli reklamę. Nie mówi ci, że prawdopodobnie wyciągną kartę kredytową i zarezerwują podróż.

Wiesz, że kogoś to obchodzi

Jeśli masz już produkt i klientów, złagodziłeś już pytanie „Czy kogoś to w ogóle obchodzi?” ryzyko. Możesz spokojnie założyć, że Twoim klientom przynajmniej trochę zależy. Musisz dowiedzieć się więcej od swojego MVP. W Yammerze, obecnie będącej częścią firmy Microsoft, MVP definiujemy jako „najmniejszą ilość produktu, jaką musimy zbudować, aby zapewnić wartość i dowiedzieć się czegoś o tym, jak osoba zachowuje się w tym kontekście”. Minimalna funkcjonalna funkcja umożliwia klientowi zakończenie interakcji. Możemy użyć narzędzi analitycznych, aby zmierzyć, czy wrócili i powtórzyli tę interakcję, lub możemy wykorzystać jakościowe badania użytkowników, aby dowiedzieć się, co o tym myśleli. Najbardziej udane podejście jest często połączeniem obu. W przypadku usługi Yammer odnoszący sukcesy MVP to taki, który pozwala nam stwierdzić, że „jest to prawdopodobnie pomysł, w który warto zainwestować więcej wysiłku, i oto dlaczego” (lub „prawdopodobnie nie warto się tym zajmować, a oto dlaczego”).

Nieco ponad minimum: skargi użytkowników, ale nie frustracja

Jeśli klient czuje się zawiedziony lub sfrustrowany, nie jest to wystarczający MVP. Z drugiej strony, jeśli klient narzeka, to dobrze. Narzekanie jest oznaką zainteresowania. Pokazuje, że klient ceni sobie doświadczenie na tyle, że chce, aby było ono lepsze, aby mogła nadal z niego korzystać.

Uważaj na tych, którzy nie mogą poprzestać na minimum

Jeśli menedżerowie produktu lub projektanci zaczną dodawać „ale co jeśli…?” przypadków użycia, które zdecydowanie wykraczają poza minimum. Ogólnie rzecz biorąc, menedżerowie produktu i projektanci, którzy nie są przyzwyczajeni do zasad lean startup, mają trudności z zatrzymaniem się na minimum. Są przyzwyczajeni do projektowania w pełni przemyślanych, działających produktów. Minimalne wersje nie będą dla nich wygodne. W rzeczywistości wersje minimalne nie są dla nikogo wygodne. Oto przypadek, w którym dokładnie rozróżniliśmy funkcje minimalne i kompleksowe. Kiedy Yammer wprowadził lekką funkcję edycji zespołowej, przed utworzeniem pełnej funkcji chcieliśmy odpowiedzieć na dwa pytania: Czy użytkownicy będą korzystać z tej funkcji? Czy edycja zespołowa byłaby wygodna i dostarczałaby wartości? Aby odpowiedzieć na te pytania, musieliśmy zapewnić kompletny, nieprzerwany przepływ pracy dla kilku kluczowych zadań:

• Tworzenie dokumentu
• Edycja dokumentu
• Zapraszanie innych do współredagowania dokumentu
• Odróżnianie zmian wprowadzanych przez jedną osobę od zmian wprowadzanych przez inną osobę
• Zapisywania zmian

Wiele dodatkowych zadań zostało wykluczonych z pierwszej wersji. Nie było możliwości usuwania, historii wersji ani metody udostępniania lub wysyłania dokumentu pocztą e-mail. To było niewygodne uwolnienie! Nikomu nie podobał się pomysł tworzenia notatki, a następnie niemożności jej usunięcia. Uznaliśmy jednak, że naszym największym ryzykiem było to, że nikt w ogóle nie użyje tej funkcji. Gdyby nikt nie używał tej funkcji do edycji dokumentów, nikt nigdy nie miałby dokumentów do usunięcia lub udostępnienia. Brak funkcji usuwania był denerwujący, ale coś, co użytkownicy odkryliby dopiero po użyciu tej funkcji. Te możliwości były potrzebne do stworzenia dojrzałej funkcji, ale nie do zweryfikowania początkowej propozycji wartości. Dopiero po zweryfikowaniu początkowej potrzeby zainwestowaliśmy dalsze wysiłki w tworzenie tych wtórnych przypadków użycia.

Dostępność poufnych informacji w sieci spowodowała włamanie do Google, czyli proces wykorzystywania zaawansowanych zapytań Google do lokalizowania poufnych informacji w sieci. Oto przykład:

Spowoduje to wysłanie zapytania do arkuszy kalkulacyjnych (plików .xls) Google for Excel, które mogą zawierać nazwy użytkowników i hasła. Działa, podobnie jak wiele innych 1422 zapytań w Google Hacking Database, repozytorium zapytań wyszukiwania znanych z dostarczania poufnych informacji . Kiedy myślisz o poufnych informacjach, które są dostępne za pośrednictwem publicznie dostępnego interfejsu Google, powinieneś również rozważyć, jakie informacje mogą być pobierane przez wewnętrznych pracowników Google z nieograniczonym dostępem do surowej bazy danych i, prawdopodobnie, możliwością precyzyjnego konstruowania zapytań przy użyciu potężnego standardu branżowego narzędzia, takie jak Structured Query Language (SQL) i wyrażenia regularne. Jak widzieliśmy, nawet zaawansowane zapytania użytkowników Google są nadal dość ograniczone.

Złe boty

W tym miejscu warto zapytać, co mógł zrobić zły bot pokrewny Googlebotowi? Wspomniałem już o wartości Googlebota jako narzędzia rozpoznawczego, ale boty mogą wyrządzać inne, bezpośrednie formy psot. Szereg robotów sieciowych pracujących wspólnie może przeprowadzić rozproszony atak typu „odmowa usługi” (DDoS) na witryny internetowe i inne usługi online, wielokrotnie żądając dokumentów, co ostatecznie przerośnie serwery. Jednak nie uważam tego za realistyczne zagrożenie ze strony dużej firmy internetowej, takiej jak Google, chyba że doznała ona masowego (i mało prawdopodobnego) kompromisu z maszynami kontrolującymi Googlebota. Prawdziwe zagrożenie DDoS pochodzi z botnetu, sieci zagrożone komputery domowe i służbowe. Ze względu na niefortunne nakładanie się terminologii należy zauważyć, że botnet to zupełnie inne zwierzę niż webbot. Botnety powstają, gdy atakujący umieścili złośliwe oprogramowanie na dużej liczbie zaatakowanych maszyn, skutecznie umieszczając każdą maszynę pod kontrolą jednego napastnika, czasami nazywanego armią botów. Botnety składające się nawet z miliona maszyn istnieją i były wykorzystywane w udanych atakach DDoS, ale nie na żądanie dużych firm internetowych. Mając to na uwadze, możliwe są interesujące ataki przy użyciu robotów internetowych. Boty posługują się wieloma protokołami i mogą przeprowadzać ataki na te usługi. Badacze codziennie odkrywają nowe ataki, a boty można zaprogramować tak, aby przeprowadzały je na pojedynczym serwerze, klasie serwerów lub nawet na każdym napotkanym przez bota serwerze. Mało prawdopodobne? Być może szczególnie w przypadku dużych firm internetowych, ale nie jest to niemożliwe. Przypomnij sobie, że roboty internetowe nieustannie trollują w sieci w poszukiwaniu linków do śledzenia, a wiele serwerów internetowych może zostać zaatakowanych za pomocą źle sformułowanych linków. Badacz bezpieczeństwa Michał Zalewski wykorzystał oba te fakty, umieszczając przykładowe złośliwe linki na stronie internetowej odwiedzanej przez roboty internetowe; zobacz poniższą listę.

Kilka dni później roboty powróciły i wypróbowały niektóre skażone linki na docelowym hoście. Kluczową ideą jest to, że Zalewski był w stanie nakłonić roboty sieciowe dużych firm internetowych do wykonania ataków wybranych przez siebie na dowolne maszyny. Eksperyment Zalewskiego wskazuje na zupełnie nowy wektor zagrożeń.

Podsumowanie

Googlebot to niestrudzony interfejs użytkownika urządzenia Google do gromadzenia danych. Jego koncepcja jest prosta: Googlebot po prostu automatyzuje proces przeglądania sieci i przekazuje informacje z powrotem do serwerów zaplecza Google. Wzmacnia ogromne ujawnienia, które ludzie ujawniają za pomocą narzędzi internetowych, o informacje, które ludzie umieszczają w publicznie dostępnej sieci. Przy co najmniej 19 miliardach stale zmieniających się stron internetowych i 50 milionach blogów  istnieje ogromne morze informacji do trolli. W świecie, w którym bardzo łatwo jest publikować informacje, opublikowanie wrażliwych informacji zajmuje tylko niewielki procent użytkowników informacje, celowo lub przypadkowo, oraz przechwytywania, buforowania i publicznego udostępniania przez Google. Użytkownicy sieci mają wyraźną skłonność do publikowania poufnych informacji. Nawet niewinnie wyglądające informacje będą zawierały unikalne atrybuty (np. Adresy e-mail i ulice, numery telefonów i nazwiska), które mogą łączyć zawartość z profilami użytkowników. Dyski twarde stają się coraz tańsze z dnia na dzień. Zatem po ujawnieniu takich informacji można bezpiecznie założyć, że będą istnieć wiecznie. Jednak nie powinieneś przejmować się tylko tymi plikami; największe zagrożenie może pochodzić z archiwów korporacyjnych w całej sieci. Chociaż niektóre witryny próbują archiwizować migawki z sieci [37], ogromne korporacje, takie jak Google, mogą rutynowo archiwizować znaczną część sieci. Googlebot to najlepszy silnik rozpoznawczy dla Google, ale nie dla użytkowników końcowych. Użytkownicy końcowi uzyskują dostęp do publicznie dostępnej bazy danych zbudowanej za pośrednictwem Googlebota. Tak więc nasz silnik rozpoznawczy jest interfejsem wyszukiwania Google i tym, co Google uważa za publicznie dostępne. Wizyty Googlebota są oczekiwane i mile widziane. Większość webmasterów tworzy swoje witryny tak, aby były przyjazne dla Googlebota, aby uzyskać wyższą pozycję w wynikach wyszukiwania. Przyszłość robotów internetowych jest poza planami; Twórcy botów stale wprowadzają innowacje. Obecne boty mogą czytać e-maile, wysyłać e-maile, podążać za linkami, wypełniać formularze, monitorować strony internetowe, pobierać pliki i przechwytywać obrazy. Jeśli informacje są dostępne w Internecie, prędzej czy później odwiedzi je bot. Można sobie tylko wyobrazić, co Google może zebrać z całego Internetu po latach i dziesięcioleciach gromadzenia.

Przestrzenie nici stanowią ogólne ramy modelowania protokołów i potwierdzania poprawności protokołów. Brak udowodnienia poprawności daje wgląd w możliwe wady protokołów. Model wykorzystuje reprezentację graficzną, aby pokazać związek przyczynowy między terminami w protokole. Narzędzia takie jak Athena , ASPECT  i inne, wykorzystywane do analizy bezpieczeństwa protokołów, są oparte na przestrzeniach nici. Takie narzędzia analizują protokoły reprezentowane w notacji przestrzeni pasm i obliczają, czy protokoły spełniają warunki bezpieczeństwa, czy nie. Jeśli nie, obliczenia dają wgląd w typy ataków, które mogą być możliwe w tych protokołach. Dostępność takich narzędzi i prostota reprezentacji to główne powody, dla których wybraliśmy przestrzenie pasm dla ram zaproponowanych w tym rozdziale. Członkowie grupy w protokole byliby określani jako podmioty główne w reprezentacji protokołu w przestrzeni pasm. Załóżmy, że zbiór A reprezentuje wszystkie możliwe terminy, które mogą być wysyłane i odbierane w protokole. Ślad wszystkich czynności wykonywanych przez instancję pryncypała lub penetratora jest reprezentowany jako pasmo. Każda nić składa się z sekwencji węzłów połączonych symbolem „⇒”. Każdy węzeł reprezentuje działanie podjęte przez mocodawcę. Akcja może polegać na wysyłaniu lub odbieraniu. Jeśli jednostka główna wysyła termin t z węzła n1 i to samo jest odbierane przez węzeł n₂, wówczas termin (n₁) = + t i termin (n₂) = −t, a węzeł n1 jest połączony z węzłem n₂ symbolem „→. ” Przestrzenie pasm modelują zdolność przeciwnika (tj. Penetratora lub intruza) za pomocą pasm penetratorów. Penetrator, jak określono , jest przystosowany do odgadnięcia wiadomości tekstowej (M), odgadnięcia nonce, znanego tylko jemu w tym czasie (R), łączenia dwóch z otrzymanych terminów (C), rozdzielania otrzymanych terminów na składniki (S) , odgadywanie klucza (K), szyfrowanie terminu znanym kluczem (E), deszyfrowanie terminu kluczem znanym penetratorowi (D), odgadywanie terminu DH (F), podpisywanie terminu znanym kluczem podpisu ( σ), wyodrębnianie zwykłego tekstu z podpisanych terminów (X) i haszowanie dowolnego terminu (H). W związku z tym ślady nici penetratora zawierałyby węzły, takie jak:

1. M, wiadomość tekstowa: <+ t>, gdzie t Є T
2. R, świeża liczba nonce: <+r>, gdzie r Є RP oznacza zbiór znanych wartości nonce do penetratora
3. C, konkatenacja: <−g, −h, + gh>
4. S, rozdział na składniki: <-gh, + g, + h>
5. K, klucz: <+ K>, gdzie K Є KP oznacza zestaw kluczy znanych programowi penetrator
6. E, szyfrowanie: <−K, −h, + {h}K>
7. D, – deszyfrowanie: <−K^-1, – {h} K, + h>
8. F, świeża wartość DH: <+ g^p>
9. σ, podpisywanie: <-K, -h, + [h] _K>, gdzie K Є K_Sig. K_Sig to zestaw kluczy używanych przez uczestników do podpisywania wiadomości
10. X, wyodrębnianie zwykłego tekstu z podpisów: <-[h]_K, + h>
11. H, hashowanie: <−g, + hash (g)>.

Atak na protokół jest modelowany poprzez przeplatanie nici zwykłych uczestników z wątkami penetratora. Zbiór wszystkich węzłów wraz ze zbiorem wszystkich krawędzi → ∪ ⇒ tworzą graf skierowany. Skończony, acykliczny podgraf powyższego grafu nazywany jest wiązką, jeśli spełnione są dwa następujące warunki:

1. Dla wszystkich obecnych węzłów odbiorczych odpowiednie są węzły nadawcze obecne również w pakiecie.
2. Dla wszystkich obecnych węzłów, ich bezpośrednimi poprzednikami są również obecne w pakiecie.

Jeśli zbiór S jest właściwym podzbiorem zbioru → ∪ ⇒, to symbol ≤S oznacza zwrotne, przechodnie domknięcie S. Załóżmy, że C jest wiązką. Wtedy ≤ C jest relacją częściowego porządku, a każdy niepusty podzbiór węzłów w C ma ≤C minimalne elementy członkowskie. Uważa się, że termin pochodzi z węzła, jeśli którykolwiek z terminów, z których można wywnioskować, pochodzi z węzła [15]. W związku z tym, używając przestrzeni pasm, okazuje się, że termin jest tajny, również przez udowodnienie, że nie pochodzi z wiązki. Reprezentacja protokołów w przestrzeni nici może być używana w połączeniu z narzędziami, takimi jak Athena , do analizy poprawności protokołów i znajdowania możliwych ataków w protokole. Podstawowy model przestrzeni nici nie został wykorzystany do oceny poufności przekazywania protokołów. W tym rozdziale przedstawiono rozszerzenia modelu przestrzeni pasm w celu stworzenia struktury do analizy poufności przekazywania protokołów. Rozszerzenia są podane w następnej sekcji jako część opisu struktury do analizy poufności przekazywania protokołów.

.

Tak jak ogólnie trudno jest scharakteryzować Al-Kaidę, tak trudno jest scharakteryzować ich potencjał do zorganizowania cyberataku. Organizacje terrorystyczne, takie jak Al-Kaida, mają tendencję do rozpowszechniania swoich zamiarów. zaczęły pojawiać się oświadczenia dotyczące zamiarów ukierunkowanych, w tym możliwości cyberataku. W rzeczywistości Omar Bakri Muhammad posunął się nawet do stwierdzenia tego

„Za chwilę zobaczysz ataki na giełdzie… Nie zdziwiłbym się, gdybym jutro usłyszał o wielkim załamaniu gospodarczym z powodu ataku kogoś na główne systemy techniczne dużych firm”.

Jeśli nasza miara zagrożenia cyberprzestępcą ze strony Al-Kaidy jest określana na podstawie połączenia zamiaru i zdolności do przeprowadzania ataków, co to mówi o zagrożeniu ze strony Al-Kaidy? Z pewnością Al-Kaida ma zamiar ataku, ale czy ma też taką zdolność? Według eksperta ds. Terroryzmu, Briana Michaela Jenkinsa, warto pomyśleć o Al-Kaidzie jako o zamiarze użycia dowolnej dostępnej broni:

„Pod względem operacyjnym Al-Kaida jest zaangażowana w spektakularną przemoc bez ograniczeń. Umieszczając dżihad w kontekście wojny obronnej przeciwko amerykańskim krzyżowcom i ich sojusznikom, którzy są winni popełnienia, podżegania do ciągłych masowych okrucieństw wobec muzułmanów lub ich aprobaty , Afganistan, Bośnia, Czeczenia, i na innych frontach) dżihadyści mogą prowadzić podobną wojnę . Co więcej, skoro dżihadyści postrzegają Allaha jako ostateczne deus ex machina w tej walce, byłoby niewyobrażalne, a nawet bluźniercze, gdyby odrzucili zdolności, które Allah stawia przed nimi, w tym broń masowego rażenia. “

Chociaż nie jest jasne, czy A1-Kaida koncentruje się na kwestiach „wielkiej strategii”, jest całkiem oczywiste, że ich ataki nabrały bardziej strategicznego charakteru. Na przykład wydaje się, że ataki w Madrycie w Hiszpanii w 2004 r. Miały na celu wyłącznie wywarcie wpływu na wynik wyborów i zmniejszenie poziomu hiszpańskiego wsparcia dla operacji wojskowych w Iraku. mogą zakłócić integralność społeczną w kraju docelowym, wywołując panikę społeczną, strach i brak zaufania do infrastruktury krytycznej lub sprawiając, że koszty celów polityki zagranicznej są ekonomicznie nie do zniesienia. Chociaż jest mało prawdopodobne, aby A1-Kaida posiadała znacznie wyrafinowane zdolności cybernetyczne, może wykorzystywać niektóre z typowych wektorów zagrożeń / narzędzi, które są obserwowane w użyciu przez innych cyberprzestępców. przeciwnik terrorystyczny, taki jak A1-Kaida. Należy pamiętać, że potencjał atrybucji prawdopodobnie nie wpłynie na zdolności rozmieszczane przez terrorystów. Terroryści będą korzystać z pełnego zakresu dostępnych im możliwości, często traktując posiadanie zdolności jako obowiązek jej wykorzystania. Cyberatak może być postrzegany jako proste rozszerzenie zamachu samobójczego, w którym indywidualny sprawca działa przy założeniu, że jego / jej indywidualna tożsamość zostanie odkryta i jest gotowa zaakceptować ten wynik jako początkowy koszt zaangażowania się w atak. Porównaj to z nieodłączną preferencją państwa narodowego do angażowania się w ataki, w których potencjalna atrybucja jest zminimalizowana, a jednym z najlepszych mechanizmów charakteryzujących może być natychmiastowa analiza tego, jak dobrze napastnicy zaciekają swoje ślady.

Z drugiej strony, jeśli sprawisz, że wersja demonstracyjna lub prototyp będzie wyglądać zbyt dobrze, ryzykujesz, że klienci pomyślą, że jest już zbudowany (lub jest w trakcie tworzenia). Mogą opóźniać zakupy lub aktualizacje, zakładając, że mogą po prostu poczekać na nową wersję. Co się stanie, jeśli unieważnisz swoją hipotezę i zdecydujesz się jednak nie budować produktu lub funkcji? Możesz skończyć z klientami, którzy są rozczarowani i źli.

Użyj szkicu

Nawet jeśli jasno wyjaśniłeś, że prowadzisz badania, aby dowiedzieć się, czego chcą klienci, a nie wskazywać kierunku produktu, i powtórzyłeś, że to, co zobaczą, może się zmienić, psychologicznie trudno jest coś zobaczyć, a następnie stracić. Użytecznym sposobem obejścia tego jest stworzenie czegoś, co wygląda dobrze, ale jest wyraźnie fałszywe. Możesz użyć programu takiego jak Balsamiq, który pozwala szybko tworzyć spójne, wyraźne, ale przypominające kreskówkę szkice. Nikt, widząc makietę Balsamiq, nie pomyli jej z produktem gotowym.

Użyj innej domeny

Jeśli chcesz wyświetlać więcej wiernych obrazów, jednym ze sposobów jest użycie innej nazwy domeny i marki. Twoja fałszywa domena może wyglądać elegancko i dobrze zaprojektowana, o ile nie przypomina projektu Twojej firmy. Zarówno w Yodlee, jak i KISSmetrics używaliśmy alternatywnych domen do testowania prototypów, zanim zdecydowaliśmy się na tworzenie prawdziwych produktów.

Głównym zagrożeniem, jakie stanowi Googlebot, jest jego rola jako odkurzacza praktycznie wszystkich publicznie dostępnych informacji w Internecie. W wielu przypadkach osoby fizyczne mogą nie zdawać sobie sprawy, że przechowywane przez nie informacje znajdują się w „Internecie” lub że mogą być dostępne publicznie. Wiele Googlebotów tworzy stronę po stronie, zbierając zarówno nieszkodliwe, jak i poufne informacje, które ludzie umieścili w Internecie. Termin spining oznacza pobranie strony internetowej i skorzystanie z linków na niej zawartych, powtarzanie tego procesu do momentu zebrania żądanej ilości informacji. To jest sedno działania robotów internetowych wyszukiwania. Indywidualnie każda strona może zawierać raczej nieszkodliwe informacje, ale gdy proces jest wykonywany wielokrotnie, mogą pojawić się problemy. Suma zebranych informacji może wiele ujawnić. Rozważ następujące:

* Firma Dell opublikowała specyfikację przyszłych laptopów Dell na publicznie dostępnych serwerach. Googlebot odwiedził witrynę i pobrał dokumenty, a Google udostępniło je za pośrednictwem swojej wyszukiwarki. Nawet po usunięciu dokumentów przez firmę Dell z Internetu były one nadal dostępne za pośrednictwem funkcji pamięci podręcznej Google.

* Drexel University College of Medicine umieścił w Internecie bazę danych pacjentów zawierającą 5500 wpisów. Zawierała adresy, numery telefonów i szczegółowe opisy chorób i metod leczenia.

* Google naciska na stany, aby otworzyły swoje dane i umieściły je online, zawarcie umów z Arizoną, Kalifornią, Utah i Wirginią.

* Blogerzy wojskowi opublikowali w Internecie wrażliwe informacje operacyjne, co skłoniło armię amerykańską do zmuszenia żołnierzy do zaprzestania publikowania postów na blogu bez konieczności informowania ich przełożonych o treści. Milblogging.com obecnie śledzi 1864 blogów wojskowych w 34 krajach.

* Użytkownicy Facebooka i MySpace nieustannie publikują w Internecie poufne informacje. Weźmy pod uwagę stażystę z banku, który poprosił o opuszczenie pracy z powodu

„Pogotowie rodzinne” i zamiast tego uczestniczył w przyjęciu, umieszczając zdjęcia z imprezy na swojej stronie na Facebooku. W innym przypadku właściciel firmy konsultingowej sprawdził stronę na Facebooku obiecującej osoby ubiegającej się o pracę. Odkryła, że ​​strona kandydata zawierała wyraźne zdjęcia i komentarze dotyczące seksualnych ucieczek ucznia, picia i palenia marihuany, a także komentarze przyjaciół.

* Europejska firma programistyczna SAP uznawana za konkurenta Witryna internetowa obsługi klienta Oracle, wykorzystująca nabyte dane logowania klienta i wyodrębnione tysiące zastrzeżonych, chronionych prawem autorskim materiałów, które Oracle opracowało dla własnych klientów pomocy technicznej. Oracle pozwał SAP w odpowiedzi.

Te przykłady pokazują, jakie informacje wrażliwe ludzie będą umieszczać w Internecie. Gdy to zrobią, tracą kontrolę nad informacjami i mogą z łatwością zostać zaindeksowane przez Googlebota.

Protokoły GKA są zaprojektowane tak, aby zapewnić kilka właściwości dla klucza sesyjnego generowanego do użytku przez uczestników, takich jak prywatność klucza, potwierdzenie klucza, wkład klucza, odporność na ataki podszywania się i doskonałe utajnienie przekazywania [6]. Formalna analiza bezpieczeństwa ustala pierwsze cztery właściwości protokołów, a taki dowód jest niezbędny do akceptacji protokołów do użytku przez grupy. Jednak doskonałe utajnienie przekazywania jest właściwością skomplikowaną obliczeniowo do osiągnięcia w protokole, a zatem kilka protokołów proponowanych w literaturze nie spełnia tego warunku lub raczej spełnia podobne właściwości w mniejszym stopniu. Autorzy tego rozdziału proponują miernik bezpieczeństwa, DPFS, do analizowania i porównywania poufności przekazywania oferowanej przez różne protokoły uwierzytelniania klucza grupowego. Ponieważ metryka jest oparta na prawdopodobieństwie utraty poufności różnych komponentów protokołu, obliczenie tej metryki może służyć jako miara zaufania, na podstawie której przyszli i istniejący członkowie mogą podejmować decyzje o dołączeniu do grupy i uczestnictwie w niej. Ponieważ zrozumienie tajemnicy przekazywanej dalej ma kluczowe znaczenie dla prześledzenia pozostałej części tego rozdziału, koncepcje opisano poniżej.

Doskonała poufność przekazywania informacji

Uczestnicy protokołu GKA (czyli członkowie grupy) posiadają tajemnice długoterminowe i krótkoterminowe. Sekrety krótkoterminowe obowiązują tylko na sesję protokołu, podczas gdy sekrety długoterminowe obowiązują przez kilka sesji, a nawet przez okres istnienia uczestnika w Internecie. Te długoterminowe tajemnice (np. Klucze prywatne uczestników, funkcje skrótu, podpisy lub jakikolwiek inny klucz ważny podczas wielu sesji z różnymi uczestnikami), jak również tajemnice krótkoterminowe, stanowią część wkładu uczestników w obliczanie klucz sesji. Ponieważ długoterminowe sekrety są ważne w różnych sesjach, istnieje większe prawdopodobieństwo, że zostaną ujawnione w długim okresie czasu. Ponadto członek grupy może migrować do innej grupy, co skutkuje kompromisem (tj. Wiedzą osoby spoza grupy) kluczy długoterminowych. Kwestią niepokojącą członków grupy byłoby to, czy ujawnienie kluczy długoterminowych może prowadzić do ujawnienia starych krótkoterminowych sekretów lub kluczy, ponieważ ujawnienie takich sekretów wraz z powtórkami przechowywanych starych wiadomości ujawniłoby wszystkie stare wiadomości. w niezaszyfrowanej formie. Na to pytanie odpowiada właściwość określana jako poufność przekazywania protokołów GKA, która jest zdefiniowana w następujący sposób: „Mówi się, że protokół ma doskonałą poufność przekazywania, jeśli ujawnienie kluczy długoterminowych nie narusza kluczy z poprzednich sesji”. Definicja doskonałej tajemnicy przekazywania dotyczy kompromitacji kluczy długoterminowych. Ale klucze krótkoterminowe można również odzyskać ze sprzętu w dowolnym późniejszym momencie, o ile nie zostaną one wyraźnie usunięte. Dlatego istnieje możliwość, że penetrator, intruz lub osoba postronna zdobędzie te efemeryczne sekrety. Ataki, które mogą ujawnić efemeryczne sekrety, oprócz długoterminowych kluczy uczestników, nazywane są silnymi uszkodzeniami w terminologii analizy bezpieczeństwa. Protokoły GKA, które nie naruszają klucza sesji, nawet w przypadku ujawnienia efemerycznych sekretów, zapewniają silną, doskonałą poufność przekazywania [8]. W tym rozdziale do analizy protokołów GKA uważa się, że intruzi mogą być wysoce skorumpowani, a zatem nie ma rozróżnienia między tajemnicami krótkoterminowymi i długoterminowymi, dlatego też oba są określane jako tajemnice. Doskonałe utajnienie przekazywania wymaga utajnienia wcześniej ustanowionego klucza sesji, nawet jeśli wszystkie długoterminowe sekrety zostały ujawnione. Nie wszystkie protokoły były w stanie zapewnić doskonałą poufność przekazywania. Gdy protokoły są projektowane w celu optymalizacji innych parametrów, takich jak czas obliczeń i liczba rund, musi zostać naruszona idealna poufność przekazywania. Aby zacytować przykład, Boyd i Nieto zaproponowali protokół klucza konferencji , który został zoptymalizowany pod kątem wielu rund, ale nie zapewnia pełnej poufności przekazywania. Słabsza forma doskonałej poufności przekazywania nazywana jest częściową poufnością przekazywania i jest wyjaśniona w następujący sposób : „Protokół zapewnia częściowe utajnienie przekazywania, jeśli kompromitacja kluczy długoterminowych jednego lub większej liczby określonych podmiotów nie narusza poprzednie przebiegi protokołów z udziałem tych zleceniodawców. ”

Doskonałe utajnienie przekazywania uwzględnia utajnienie wcześniej ustanowionego klucza sesji, gdy wszystkie długoterminowe sekrety zostały naruszone, podczas gdy częściowe utajnienie przekazywania uwzględnia utajnienie ustanowionego klucza sesji, gdy niektóre długoterminowe sekrety zostały ujawnione. W związku z tym doskonałe utajnienie przekazywania można postrzegać jako szczególny przypadek częściowego utajnienia przekazywania. Intuicyjnie, spośród protokołów, które spełniają częściowe utajnienie przekazywania, te, które pozwalają na złamanie większej liczby sekretów bez narażania klucza sesji, byłyby silniejsze niż te, które pozwalają na złamanie mniejszej liczby sekretów. Formalna miara do porównywania protokołów w oparciu o ich częściową poufność przekazywania, to znaczy ich poziom tolerancji na kompromitację kluczy długoterminowych, pomogłaby w wyborze protokołu i ewolucji wartości zaufania dla grup, które używają tego protokołu. W dalszej części tego rozdziału zaproponowano formalne ramy oceny różnych protokołów GKA spełniających częściową poufność przekazywania. Struktura obejmuje metrykę do porównania częściowego utajnienia przekazywania protokołów i algorytm obliczania metryki. Propozycja jest dalej zilustrowana w dwóch zbiorach protokołów. Pierwsza kolekcja składa się z protokołów GKA, które używają prymitywu kryptograficznego Diffiego – Hellmana (DH). Doskonałe utajnienie przekazywania jest uważane za atrybut protokołów kryptograficznych opartych na DH, ponieważ klucze efemeryczne są odrzucane po obliczeniu klucza sesji. Ale przy silnym zepsuciu protokoły, które w przeciwnym razie spełniają doskonałą tajemnicę przekazywania, spełniają tylko częściową poufność przekazywania, ponieważ zakłada się, że efemeryczne klucze krótkoterminowe mogły zostać zapisane i / lub wyciekły.

Protokoły oparte na DH mają różne mocne strony w odniesieniu do częściowej tajemnicy przekazywania, w warunkach silnego zepsucia i w zależności od ich projektu. Nasza analiza pomaga ocenić te protokoły i może być wykorzystana przez projektantów protokołów do uzyskania wglądu w to, czy projekty protokołów spełniają wymagane poziomy częściowej poufności przekazywania. Drugi zbiór w zestawie testowym składa się z protokołów GKA, które używają różnych prymitywów kryptograficznych, co ilustruje, że proponowana technika analizy jest niezależna od prymitywów kryptograficznych używanych przez protokoły. W tym miejscu przeanalizujmy przykład aplikacji opartej na grupach, aby zrozumieć wymóg zachowania poufności przekazu. Członkowie grupy mogą chcieć przechowywać poufne dane w zdalnej lokalizacji, takiej jak chmura, szyfrując je kluczem znanym tylko im. Ten klucz zostałby wygenerowany przez protokół GKA. Wybór protokołu GKA z doskonałą poufnością przekazywania lub najsilniejszą częściową poufnością przekazywania zminimalizowałby ryzyko złamania klucza sesji i wynikającą z tego utratę poufności przechowywanych danych w przypadku ujawnienia niektórych sekretów. W literaturze zaproponowano kilka modeli analizy doskonałego utajnienia przekazywania], ale modele oceny i pomiaru częściowej poufności przekazywania nie zostały jeszcze sformułowane. W tym rozdziale model przestrzeni pasm dla protokołów został rozszerzony w celu sformułowania ram oceny częściowej poufności przekazywania. Ponieważ przestrzenie pasm tworzą kręgosłup proponowanej struktury, zostaną opisane w dalszej części.