Zaufanie w Cyberspace : Zgodność

W praktyce zgodność z przepisami jest ustalonym mechanizmem zapewniającym poziom zaufania do bezpieczeństwa informacji. Zgodność oznacza ustalenie zasad, procedur i kontroli w celu spełnienia wymagań normy dostarczonej przez władze. Istnieją przepisy, które obejmują wiele dziedzin, od zarządzania i własności po bezpieczeństwo i prywatność, na przykład ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) w zakresie danych zdrowotnych, standardy bezpieczeństwa danych w branży kart płatniczych (PCI DSS) dla kart płatniczych oraz Sarbanes-Oxley Act (SOX) do odtwarzania po awarii. Przetwarzanie w chmurze komplikuje jednak sytuację w zakresie zgodności z przepisami. Dane w chmurze są replikowane w różnych miejscach, które mogą być oddalone od siebie geograficznie i fizycznie. To potencjalnie wprowadza bardzo trudną sytuację w których te same dane mogą wymagać zgodności z różnymi przepisami, co w skrajnych przypadkach może się różnić. W związku z tym klient musi upewnić się, że albo dane są zlokalizowane zgodnie z prawem, albo nie ma takiej kolizji przepisów. Przy ocenie zaufania należy wziąć pod uwagę przejrzystość i elastyczność CSP w tym względzie. Dostawca usług kryptograficznych może również wykorzystywać zasoby od innych dostawców usług CSP lub zlecać im podwykonawstwo, na przykład dostawcy SaaS korzystającego z zasobów dostawcy IaaS. W takim przypadku musi być ubezpieczona zgodność wszystkich takich dostawców w łańcuchu. Ciężar zgodności z przepisami, jak stwierdził Arshad ], spoczywa na kliencie, a zatem w obliczeniach zaufania za bardziej odpowiedzialny zostanie uznany CSP, który jest przejrzysty dla klienta w zakresie sposobu postępowania z jego danymi. Niektóre rozwiązania problemu zgodności z przepisami zostały zaproponowane w literaturze, na przykład przetwarzanie w chmurze zgodne z przepisami (RC3) [28]. RC3 proponuje najpierw sklasyfikować dane klienta na dane wrażliwe i niewrażliwe, a następnie dane wrażliwe są przetwarzane i przechowywane w strefach regulowanych, a dane niewrażliwe mogą być przechowywane w innym miejscu. Strefy regulowane mogą znajdować się na granicy klienta (prywatna chmura) lub w zaufanej, zgodnej chmurze publicznej. Szereg innych opracowań proponuje przechowywanie w chmurze tylko zaszyfrowanych danych i pracę nad tymi zaszyfrowanymi danymi w celu rozwiązania problemu zgodności. Szyfrowanie danych przed zapisaniem nie jest dużym problemem; jednak agregowanie, wysyłanie zapytań i stosowanie innych operacji na danych kryptograficznych nie jest łatwe i wiąże się z dużym narzutem.

Ciemna Strona Neta : Myśl, szukaj, kaszl

Za każdym razem, gdy wysyłamy pozdrowienia na ścianie naszego znajomego na Facebooku, wpisujemy w Google imię ulubionej gwiazdy lub zostawiamy komentarz z dezaprobatą w witrynie naszej ulubionej gazety, gdzieś w Internecie zostawiamy publiczny ślad. Wiele z tych śladów, jak na przykład komentarz na stronie gazety, jest widocznych dla wszystkich. Niektóre, jak nasze wyszukiwania w Google, są widoczne tylko dla nas (i oczywiście dla Google). Większość, jak ten dziwny komentarz na ścianie Facebooka, znajduje się gdzieś pośrodku. Na szczęście nie jesteśmy sami w Internecie – co najmniej miliard innych użytkowników również bloguje, Google, Facebook i tweetuje – a większość naszych informacji jest po prostu zagubiona w niekończącym się oceanie cyfrowych efemeryd produkowanych przez innych. To właśnie naukowcy zajmujący się prywatnością nazywają „bezpieczeństwem przez zapomnienie”. W większości przypadków niejasność nadal działa, chociaż wyjątków od tej reguły jest coraz więcej. Zapytaj kogokolwiek, kto ma trudności ze znalezieniem pracy lub wynajmem mieszkania, ponieważ w wyszukiwaniach Google lub na Facebooku pojawia się coś o nim wstydliwego. Niemniej jednak agregowanie tych niewielkich cyfrowych śladów w jeden duży zestaw danych – czasami obejmujący całe populacje – może dostarczyć pouczających informacji na temat ludzkich zachowań, wskazać nowe trendy i pomóc w przewidywaniu reakcji opinii publicznej na określone wydarzenia polityczne lub społeczne. Firmy marketingowe i reklamowe już dawno zrozumiały siłę informacji. Im więcej wiedzą o danych demograficznych, zwyczajach konsumenckich i preferencjach określonych typów klientów, tym bardziej mogą dostosować swoją ofertę produktową, a co za tym idzie, więcej mogą zarobić na sprzedaży. Świat cyfrowy nie jest inny. Historia naszej wyszukiwarki internetowej mówi więcej o naszych nawykach informacyjnych niż nasze akta patronów w lokalnej bibliotece. Zdolność do zidentyfikowania i zebrania „zamiarów” ze zwykłego wyszukiwania w Internecie, dopasowywania reklamodawców do klientów szukających ich ofert, pozwoliła firmie Google postawić na głowie biznes reklamowy. A zatem, oprócz prowadzenia najpopularniejszej agencji reklamowej na świecie, Google prowadzi również najpotężniejszą firmę zajmującą się analizą marketingu. To wynika z tego, że Google wie, jak powiązać wyszukiwania internetowe z danymi demograficznymi i innymi decyzjami dotyczącymi wyszukiwania i zakupów swoich klientów (np. jaki procent nowojorczyków, którzy szukali hasła „aparat cyfrowy” w ciągu ostatnich dwunastu miesięcy, wyszukuje „oferty na iPhone’y”) . Ale nie szukamy tylko lepszych iPodów i nowych ofert na telewizory plazmowe. Szukamy również informacji o ludziach i miejscach w wiadomościach („czy Michael Jackson zmarł?”), O szerszych trendach kulturowych („jakie są najlepsze powieści dekady?”) I oczywiście o rozwiązywaniu problemów – głównie trywialne, ale pewne ważne – które nieustannie pojawiają się w naszym życiu („jak naprawić zepsutą pralkę”). Istnieje wiele sezonowych różnic w częstotliwości wyszukiwania określonych produktów (liczba wyszukiwań hasła „nadziewany indyk” prawdopodobnie wzrośnie przed Świętem Dziękczynienia), ale częstotliwość zapytań dotyczących większości pozycji jest zwykle dość spójna. Zatem ilekroć następuje nagły wzrost liczby zapytań Google dla danego terminu, prawdopodobnie oznacza to, że wydarzyło się coś niezwykłego; prawdopodobieństwo jest jeszcze większe, jeśli gwałtowny wzrost wyszukiwań ogranicza się tylko do określonego obszaru geograficznego. Na przykład, kiedy niezwykle duża liczba internautów w Meksyku zaczęła wpisywać w Google terminy takie jak „grypa” i „przeziębienie” w połowie kwietnia 2009 roku, zasygnalizowało to wybuch świńskiej grypy. W rzeczywistości Google Flu Trends, dedykowana usługa Google stworzona specjalnie w celu śledzenia, jak często ludzie wyszukują elementy związane z grypą, zidentyfikowała wzrost 20 kwietnia, zanim świńska grypa stała się przyczyną wielu w mediach. I chociaż kilka badań naukowych przeprowadzonych przez badaczy zdrowia wykazało, że dane Google nie zawsze są tak dokładne, jak inne sposoby śledzenia rozprzestrzeniania się grypy, nawet oni przyznali, jak tani i szybki jest system Google. Poza tym w dziedzinach, które nie wymagają tak dużej ilości danych, jak zwalczanie chorób, Google radzi sobie znacznie lepiej niż alternatywy – o ile w ogóle istnieją. Wyszukiwarki nieumyślnie stały się niezwykle potężnymi graczami w branży zbierania informacji i przewidywania przyszłości. Pokusa – której dyrektorzy Google, ku swojemu uznaniu, do tej pory opierali się – polega na zarabianiu na ogromnej ilości informacji związanych z trendami, poza samą sprzedażą reklam. Technicznie rzecz biorąc, Google wie, jak często rosyjscy internauci wyszukują słowa „łapówki”, „opozycja” i „korupcja”; wie nawet, w jaki sposób takie zapytania są rozmieszczone geograficznie i czego jeszcze szukają tacy potencjalni awanturnicy. Nie trzeba Nostradamusa, by zinterpretować nagły wzrost wyszukiwań w Internecie słów takich jak „samochody”, „import”, „protesty” i „Władywostok” jako oznakę rosnących napięć społecznych związanych z podwyżkami taryf samochodowych warzących się we Władywostoku, rosyjskim główna placówka na Dalekim Wschodzie. To są dane, za które rosyjskie tajne służby dosłownie zabijałyby. Taka wiedza może oczywiście sprawić, że autorytaryzm będzie lepiej reagował i wnieśli do procesu przynajmniej odrobinę demokracji. Ale jest również możliwe, że rządy wykorzystają tę wiedzę do rozprawienia się z dysydentami w bardziej skuteczny i terminowy sposób. Wyszukiwarki internetowe to doskonały sposób na okiełznanie ciekawości tłumów w celu poinformowania władz o zbliżających się zagrożeniach. Monitorowanie wyszukiwania w Internecie może przynieść nawet cenniejsze informacje niż monitorowanie mowy w Internecie, ponieważ mowa jest zwykle skierowana do kogoś i jest pełna aluzji, podczas gdy wyszukiwanie w Internecie jest prostą i neutralną rozmową między użytkownikiem a wyszukiwarką. Wartość wywiadowcza wyszukiwarek nie jest tracona dla internetowych guru konsultujących się z autorytarnymi rządami. W marcu 2010 roku, mówiąc o ambicjach Kremla, by stworzyć własną wyszukiwarkę, Igor Aszmanow, jeden z pionierów rosyjskiego Internetu i osoba, która konsultowała się z Kremlem w sprawie ich narodowego planu poszukiwań w przeszłości, powiedział wprost: „Kto dominuje rynek wyszukiwania w kraju wie, czego szukają ludzie; znają strumień zapytań. To zupełnie unikalne informacje, których nie można uzyskać nigdzie indziej ”. Jeśli przyjmie się, że autorytarne rządy zwykle są zaskakujące – jeśli nie są zaskoczone, prawdopodobnie popełniają samobójstwo (np. W przypadku Związku Radzieckiego) – to też musimy założyć, że biorąc pod uwagę, ile danych w Internecie może być zbierane, analizowane i badane niespodzianki mogą stać się rzadsze. Ale nawet jeśli próby rządów kontrolowania – bezpośrednio lub pośrednio – świata wyszukiwania w Internecie nie przyniosłyby natychmiastowych rezultatów, Internet mógłby wzmocnić ich aparat wywiadowczy w inny sposób. Pojawienie się mediów społecznościowych sprawiło, że większość użytkowników Internetu coraz bardziej czuje się komfortowo z myślą o dzieleniu się swoimi przemyśleniami i czynami z całym światem. Może nie wydawać się to oczywiste, ale przeglądanie tych wszystkich postów na blogu, aktualizacji na Twitterze, zdjęć i filmów opublikowanych na Facebooku i YouTube może dostarczyć całkiem wielu przydatnych informacji dla służb wywiadowczych – i nie tylko o indywidualnych nawykach, jak w białoruskim KGB przypadku, ale także o ogólnych trendach społecznych i ogólnym nastroju społecznym. Analiza sieci społecznościowych może zapewnić jeszcze lepszy wgląd niż monitorowanie wyszukiwań w Internecie, ponieważ można by skorelować informacje pochodzące od poszczególnych osób (czy to opinii, czy faktów) w świetle tego, co jeszcze można dowiedzieć się o tych osobach z ich profilu podróże, jakiego rodzaju grupy internetowe lub przyczyny się zajmują, jakie filmy lubią, kto jeszcze jest w ich sieci itp.). Na przykład autorytarny rząd może zwracać szczególną uwagę na opinie osób w wieku od dwudziestu do trzydziestu pięciu lat, często podróżujących za granicę i posiadających wyższe wykształcenie. Wystarczy poświęcić trochę czasu na przeglądanie odpowiednich grup na Facebooku (np. „Harvard class of 1998” lub „Uwielbiam podróżować po Bliskim Wschodzie”), aby znaleźć właściwe postacie. W pewnym sensie świat sieci społecznościowych eliminuje potrzebę grup fokusowych; znalezienie inteligentnych sposobów łączenia istniejących grup i opinii online mogłoby być bardziej skuteczne. I nie muszą samodzielnie zbierać tych danych. Wiele prywatnych firm już zbiera dane – głównie do celów marketingowych – które rządy, zarówno autorytarne, jak i demokratyczne, uznałyby za niezwykle przydatne. Tak więc, podczas gdy KGB może już nie istnieć w 2020 r., Jego funkcje mogą nadal być wykonywane przez kilka prywatnych firm specjalizujących się w jednym szczególnym aspekcie pracy informacyjnej. Dzisiaj rządy mogą się sporo dowiedzieć o perspektywach niepokojów politycznych w danym kraju, po prostu zwracając szczególną uwagę na najpopularniejsze przymiotniki używane przez digerati. Czy oni są „Szczęśliwi” czy „zaniepokojeni”? Czy czują się „zagrożeni” lub „upoważnieni”? A jeśli ktoś kontroluje religię? Czy samozwańczy świeccy blogerzy czują się bardziej zadowoleni niż osoby religijne? Wyobraź sobie, jak przydatne może być dla irańskiego rządu śledzenie, jak często Irańczycy używają słowa „demokracja” w swoich publicznych rozmowach online i jak takie wzmianki są rozpowszechniane w całym kraju. (Na przykład, czy są jakieś regiony Iranu, które są bardziej demokratycznie nastawione i niezadowolone z obecnego reżimu niż inne?) Jeśli istnieją odpowiednie kontrole dla stronniczości statystycznych, taka technologia często przewyższa badania opinii publicznej, których rozwój wymaga czasu i , gdy robi się to w krajach autorytarnych, zawsze ryzykuj, że ludzie będą fałszywie przedstawiać swoje poglądy, aby uniknąć kary. Takie zagregowane informacje mogą nie być w pełni reprezentatywne dla całej populacji, ale pomagają zachować kontrolę nad najbardziej kłopotliwymi grupami. Tak więc fakt, że autorytarne rządy mogą teraz dowiedzieć się więcej o nastrojach publicznych w czasie rzeczywistym, może tylko przyczynić się do ich długowieczności. Jest mniej prawdopodobne, że źle ocenią reakcję opinii publicznej. Co gorsza, aktywność w mediach społecznościowych nie zawsze jest złym narzędziem do oceny względnego znaczenia działaczy antyrządowych. Jeśli tweety konkretnego użytkownika są przesyłane dalej niż zwykle, rząd powinien zacząć uważnie obserwować tę osobę i dowiedzieć się więcej o jej sieci społecznościowej. Wirusowa kultura mediów społecznościowych może przynajmniej pośrednio pomóc w rozwiązaniu problemu nadmiaru informacji, który wpłynął również na cenzurę. To „internetowa giełda pomysłów”, która informuje tajną policję, kogo należy obserwować. Z perspektywy tajnej policji niepopularne osoby prawdopodobnie nawet nie zasługują na cenzurę; pozostawieni samym sobie i prawie zerowym czytelnikom, za mniej więcej miesiąc zabraknie im energii do blogowania.

Audyt Umysłu Hakera : Techniki wykorzystywania aplikacji internetowych

Tak jak związane z bezpieczeństwem luki programistyczne istnieją w oprogramowaniu takim jak Microsoft Windows i Linux, aplikacje napisane do obsługi stron internetowych (znane jako aplikacje internetowe) mogą cierpieć z powodu wielu luk w zabezpieczeniach, od tych, które pozwalają zdalnym atakującym na modyfikowanie danych, takich jak ceny produktów sprzedawanych w witrynach internetowych e-biznesowych tym, które, jeśli są prawidłowo wykorzystywane, umożliwiają zdalnym atakującym uzyskanie pełnego dostępu do serwerów obsługujących podatne witryny sieci Web. Ze względu na szeroki zakres technologii wykorzystywanych do tworzenia aplikacji internetowych, istnieje wiele różnic między technikami, w których przeciwnik może wykorzystywać podobne wady w różnych aplikacjach internetowych wykorzystujących różne technologie.

Technika różnicująca

Istnieje wiele czynników różnicujących między sposobami wykorzystania błędów aplikacji sieci Web a poziomem trudności związanym z odpowiednią techniką ataku. Poziomy trudności związane z technikami eksploatacji aplikacji sieci Web odnoszą się do różnych semantyki języka, w którym aplikacja jest napisana, oraz wszelkich innych technologii, takich jak serwery baz danych, z których korzysta aplikacja internetowa. Przykładem tego, jak taki element wyróżniający mógłby istnieć, jest przypadek, w którym w aplikacji sieci Web istnieje błąd typu iniekcyjnego języka SQL (Structured Query Language). Błędy SQL injection pozwalają atakującemu na wykonanie dowolnych zapytań do baz danych na serwerach baz danych, na których działa wiele aplikacji internetowych (takich jak aplikacje elektronicznego koszyka na zakupy). Na potrzeby tego przykładu rozważmy dwa przypadki. W pierwszym, baza danych połączona z podatną na ataki aplikacją internetową jest obsługiwana przez SQL Server 2000 firmy Microsoft, na którym zastosowano wszystkie dostępne aktualizacje zabezpieczeń firmy Microsoft. W drugim przypadku ta sama aplikacja internetowa jest połączona z serwerem bazy danych MySQL, na którym zastosowano również wszystkie najnowsze poprawki zabezpieczeń. W pierwszej kolejności nasz przeciwnik jest w stanie wykorzystać lukę w iniekcji SQL, wykonując polecenia na hoście, na którym działa serwer MS SQL, i ostatecznie uzyskując Telnet (zdalna administracja), jak powłoka w systemie, za pomocą funkcji wbudowanej w Microsoft SQL serwer umożliwiający wykonywanie poleceń systemowych. W drugim przypadku nasz przeciwnik nie może znaleźć żadnej równoważnej funkcji na serwerze MySQL i jest zmuszony zużywać dodatkowe zasoby, aby znaleźć lukę w serwerze MySQL, która umożliwia wykonywanie poleceń systemowych. Ponieważ przeciwnik nie posiada umiejętności wymaganych do znalezienia i wykorzystania w sumie nowej luki w serwerze bazy danych MySQL, kosztuje to przeciwnika pięć dni czasu przyjaciela (któremu jest teraz winien przysługę) i potencjalnie utratę informacje dotyczące wcześniej niepublikowanej luki w MySQL w przypadku wykrycia jego ataku. Ten przykład pokazuje wariantowy poziom umiejętności wymagany do wykorzystania tej samej wady w aplikatorze sieciowym z różnymi technikami wymaganymi ze względu na różne technologie wykorzystywane przez aplikacje internetowe. Tabela  ilustruje, w jaki sposób możemy ocenić poziomy umiejętności wymagane do osiągnięcia celu poprzez wykorzystanie luk w aplikacjach internetowych, które wykorzystują różne technologie.

Wady aplikacji internetowej: publiczne: prywatne

Zastrzeżona penetracja aplikacji: 3 5

Wstrzyknięcie SQL

Penetracja aplikacji typu open source: 3 5

Wstrzyknięcie SQL

Zastrzeżona penetracja aplikacji: 2 4

Wstrzyknięcie dowolnego kodu

Penetracja aplikacji typu open source: 2 4

Wstrzyknięcie dowolnego kodu

Zastrzeżona penetracja aplikacji: 3 5

Wykonywanie poleceń systemu operacyjnego przy użyciu języka SQL

Iniekcja (MS SQL)

Zastrzeżona penetracja aplikacji: 3 5

Wykonywanie poleceń systemu operacyjnego przy użyciu języka SQL

Wstrzyknięcie (Sybase)

Zastrzeżona penetracja aplikacji: 4 6

Tylko wtrysk SQL (MS SQL)

Zastrzeżona penetracja aplikacji: 6 8

Tylko wtrysk SQL (IBM DB2)

Zastrzeżona penetracja aplikacji: 6 8

Tylko wstrzyknięcie SQL (Oracle)

Dodatkowe przykłady punktacji ataku

Poniżej dodatkowo pokazan sposoby oceny ataku na podstawie poziomu umiejętności wymaganego do wykorzystania (aw przypadku kolumny Private, znalezienia) wad, w zależności od używanej technologii i charakteru wady. Pamiętaj, że aby uzyskać wynik, sukces jest zawsze prawdziwy!

Exploity oprogramowania użytkownika Land: publiczne: prywatne

Eskalacja uprawnień lokalnych (Linux 2.4) 3 6

Zdalna eksploatacja demona (Linux 2.4) 4 8

Eksploatacja za pośrednictwem programu Mass Rooter (Linux 2.4) 1 3

Exploity oprogramowania jądra: publicznye:  prywatne

Zdalna masa przepełnienia przestrzeni jądra 1 3

(Linux 2.4)

Zdalne przepełnienie przestrzeni jądra

(Linux 2.4) 5 9

Przepełnienie lokalnego jądra

(Linux 2.4) 3 6

Ostrzeżenia: Maskarada zachowań ataków

Jednym z zastrzeżeń związanych z oceną przeciwnika za pomocą technik i narzędzi używanych w ataku jest to, że bardziej zaawansowany przeciwnik może celowo udawać niewykwalifikowanego przeciwnika w nadziei, że zwabi tych odpowiedzialnych za obronę celu w fałszywe poczucie bezpieczeństwo, wykorzystując dobrze znany fakt, że wśród wielu administratorów systemów istnieje tendencja do oceniania

ich cyberprzestępcy jako niezdolni do włamania się do ich systemów. Drugim powodem, dla którego przeciwnik udaje mniej wprawnego napastnika, jest zakamuflowanie prawdziwego ataku w ramach dużej liczby ataków, rzekomo wykonanego przez wysoce niewykwalifikowanego przeciwnika. Dobra wiadomość jest taka, że ​​w każdym przypadku, nawet jeśli atak jest zamaskowany przez duża liczba ataków „pozorowanych” ze strony rzekomo niewykwalifikowanych przeciwników, użycie kilku dobrze rozmieszczonych IDS powinno zapewnić, że prawdziwy atak ma duże szanse na zarejestrowanie. W przypadku, gdy przeciwnik próbował zamaskować atak innymi działaniami, prawie zawsze tak się dzieje, ponieważ wierzy, że bez tych środków atak zostałby natychmiast zauważony. że takie działanie służy spowolnieniu procesu wykrywania – w końcu przetwarzanie 10 000 wierszy plików dziennika wykrywania włamań zajmuje o wiele więcej czasu niż 10 wierszy.

Podsumowanie

Przedstawiliśmy kilka kluczowych zasad oceniania ataku na podstawie danych, które są powszechnie dostępne po wystąpieniu incydentu. Należy zauważyć, że narzędzia i techniki ataku opisane w tym rozdziale to tylko wierzchołek góry lodowej. Osoby, których zadaniem jest scharakteryzowanie cyberprzestępców na etapie analizy incydentów, są zachęcane do kreatywności, wykorzystując dostępne dane dotyczące ataku, jednocześnie odwołując się do przeszłości. do zasad charakteryzacji przedstawionych w tym rozdziale. W następnym rozdziale zbadamy, w jaki sposób możemy wykorzystać przedstawioną dotychczas teorię do scharakteryzowania tych, którzy stanowią zagrożenie dla naszych najcenniejszych aktywów – zbliżając się o krok do prawdziwego „poznania wroga”.

Agile Leadership : PROWADZENIE GRUPY DO MYŚLENIA POZIOMEGO

Kiedy grupa ludzi zaczyna myśleć horyzontalnie, myślą dosłownie razem – a wspólne myślenie jest fascynującym zjawiskiem. Kiedy myślimy razem horyzontalnie, w rzeczywistości tworzymy rozszerzony umysł. Pomysł ten został po raz pierwszy przedstawiony przez filozofa Andy’ego Clarka i kognitywisty Davida Chalmersa. Według Clarka i Chalmersa umysł i procesy poznawcze człowieka nie ograniczają się do głowy ani nawet do ciała. Rozszerzony umysł rozciąga się na świat osoby, w tym na przedmioty. Na przykład korzystanie z list rzeczy do zrobienia w celu rozszerzenia pamięci jest prostym sposobem na rozszerzenie umysłu. Oczywiście korzystamy również z innych, znacznie bardziej wyrafinowanych urządzeń do przechowywania i wyszukiwania, takich jak komputery i Internet, aby rozszerzyć nasze umysły. W swojej książce The Knowledge Illusion: Why We Never Think Alone, Steven Sloman i Philip Fernbach opierają się na teorii rozszerzonego umysłu, zauważając, że umysł rozciąga się również na ludzi wokół nich. Ponadto nieustannie korzystamy z informacji i wiedzy zgromadzonej poza naszymi głowami: w naszym środowisku, w naszym dobytku i społeczności, z którą mamy do czynienia. To, co moglibyśmy nazwać „aktywami”, jest więc wszędzie. Jak widzieliśmy w rozdziale 4, nasze podejście do projektowania i kierowania złożoną współpracą zaczyna się od zidentyfikowania zasobów, które mogą przyczynić się do powstania potencjalnych rozwiązań – umiejętności, aktywów fizycznych, aktywów kapitałowych, zasobów społecznych. Kiedy robimy to z grupą, zasadniczo mapujemy nasz zbiorowy rozszerzony umysł. Niezmiennie otrzymujemy bogatą kolekcję aktywów. Zespół może następnie wykorzystać te różnorodne zasoby, aby zaprojektować szereg możliwych rozwiązań.

Powiedzmy, że grupa od pięciu do siedmiu osób otrzymała zadanie zaprojektowania strategii rozwiązania złożonego problemu. Jeśli każda osoba zidentyfikuje pięć aktywów, wówczas grupa będzie miała od 25 do 30 aktywów w zbiorczym spisie aktywów. Jak widzieliśmy w rozdziale 1, kiedy przyjrzeliśmy się innowacyjności telefonu, mieszanie i dopasowywanie różnych kombinacji tych zasobów w celu stworzenia potencjalnych rozwiązań daje nam prawie nieskończony zestaw możliwości. Złożone wyzwania będą wymagały od nas rozważenia i eksperymentowania z wieloma różnymi strategiami lub opcjami. Możemy zbudować tę listę, biorąc nasze zasoby i łącząc je na różne sposoby. Takie podejście jest prostym, ale skutecznym sposobem osiągnięcia różnorodnych opcji potrzebnych do radzenia sobie ze złożonymi wyzwaniami. Jeśli zidentyfikujemy nasze aktywa, nawet te ukryte, możemy je połączyć.

Połączenie ich pozwala nam dosłownie razem myśleć horyzontalnie. Łączenie i wykorzystywanie zasobów poprzez myślenie horyzontalne i pomaganie w tym innym to umiejętność, której można się nauczyć. Rozwiązania dzisiejszych złożonych wyzwań nie będą opracowywane hierarchicznie. Zostaną zaprojektowane w sieciach, które łączą i wykorzystują zasoby. Będą projektowane zbiorowo, myśląc horyzontalnie i przy pomocy zwinnych liderów.

Lean Customer Development : Brak świadomości tego, co jest technicznie możliwe

Problemy bez możliwych rozwiązań wydają się bardziej faktami niż problemami. Ludzie mogą nie narzekać na coś, jeśli uważają, że nie ma sposobu, aby temu zaradzić. Proponowane przez nas rozwiązania są zakorzenione w tym, co postrzegamy jako możliwe. Dlatego klienci zwykle sugerują stopniowe ulepszenia, a nie fundamentalne zmiany. Jako ludzie, którzy tworzą produkty, zanurzamy się w naszych światach. Wiemy, jakie możliwości dają technologia, procesy i automatyzacja. Nasi klienci nie są. Pomyśl o rozwiązaniu takim jak Siri. Jeszcze kilka lat temu doświadczenie większości ludzi z rozpoznawaniem głosu ograniczało się do tych koszmarnych automatycznych, interaktywnych systemów odpowiedzi głosowych, w których krzyczysz „1, ANGIELSKI, NIE, 3, ROZMOWA Z OPERATOREM, OPERATOREM, OPERATOREM!” do telefonu, a potem rozłącza się z obrzydzeniem. Jak klient mógł poprosić o coś podobnego do Siri, skoro to było jej jedyne doświadczenie z przetwarzaniem języka naturalnego i rozpoznawaniem głosu? Nawet jeśli klient może wymyślić rozwiązanie, którego dzisiaj nie ma, jest mało prawdopodobne, aby się nim podzielił z obawy, że zabrzmi głupio. Nie chcemy przyznać, że nie potrafimy odróżnić czegoś trudnego od niemożliwego. Kto chce się wstydzić nieumyślnego proszenia o coś śmiesznego? Nie jest łatwo skłonić klientów do myślenia poza sferą tego, co wiedzą, że jest możliwe, ale można to zrobić. Jest pytanie, do którego będę odnosić się w tej książce, a brzmi ono: „Zapomnij o tym, co jest możliwe. Gdybyś mógł pomachać magiczną różdżką i rozwiązać cokolwiek, co byś zrobił? ” Pytanie o magiczną różdżkę zdejmuje ogromny ciężar z barków Twojego klienta. Mówi mu, że nie musi się martwić o to, co jest możliwe. Nie ma złych odpowiedzi. Kiedy oprawiasz wywiad w ten sposób, zwykle słyszysz: „Cóż, to jest śmieszne, ale…”, po którym następują uzasadnione problemy i twórcze pomysły. Pomysły, które proponują klienci, zwykle nie są możliwe lub praktyczne, ale mogą doprowadzić Cię do takich, które są. „Chciałbym móc po prostu usiąść na ramionach ludzi – jak diabeł na ich ramieniu – i zapytać„ Dlaczego? ”W momencie, gdy opuszczają moją witrynę”. Ta odpowiedź na pytanie dotyczące magicznej różdżki pomogła KISSmetrics zaprojektować KISSinsights, narzędzie do przeprowadzania badań na miejscu. Doskonale oddawało frustrację, jaką odczuwali nasi klienci.

Ile Google wie o Tobie : Ponad pół miliona wyszukiwarek

Miliardy zapytań zostały ujawnione dużym i małym wyszukiwarkom. Istnieje mnóstwo wyszukiwarek , zarówno ogólnych, jak i specjalistycznych. Jest ich zbyt wiele, by je tutaj wymienić, ale poniższe są największe:

Google (49,2% ), www.google.com/

Wieśniak! (23,8%), www.yahoo.com/

MSN (9,6%), www.msn.com/

AOL (6,3%), www.aol.com/

Zapytaj (2,6%), www.ask.com/

Inni (8,5%) – ponad 56 innych monitorowanych wyszukiwarek

Każdy rozdział książki poświęcony usługom zawiera podobną listę; im więcej usług oferuje jedna firma, tym większe ryzyko. W niektórych przypadkach być może nie korzystałeś ze wszystkich tych usług, ale jeśli w jakikolwiek sposób byłeś aktywny w sieci, prawdopodobnie używałeś niektórych z tych wyszukiwarek. Każdy silnik jest szeroko ukierunkowany, więc ryzyko opisane w tym rozdziale dotyczy każdego z nich. Istnieje jednak o wiele więcej wyszukiwarek, z których każdy próbuje wykorzystać inny sposób wyszukiwania, ostatecznie usiłując wyrzucić Google. Pani Dewey (www.msdewey.com/) – Szukaj, komunikując się z pseudo-człowiekiem

ChaCha (www.chacha.com/)— Wyszukiwanie wspomagane przez ludzkiego przewodnika

Quintura (www.quintura.com/) i Kartoo (www.kartoo.com/)—

Mechanizmy klastrowania, które przedstawiają wyniki jako połączone klastry

terminy pokrewne

LivePlasma (www.liveplasma.com/)— wyszukiwanie oparte na zaleceniach

silnik, który sugerował powiązane zespoły muzyczne i filmy

DogPile (www.dogpile.com/)— Silnik wyszukiwania Metasearch, który przeszukuje wiele

wyszukiwarki w tym samym czasie

Przeszukaj Wikię (http://alpha.search.wikia.com/)— Wyszukiwanie oparte na wiki to wykorzystanie opinii zaufanych użytkowników od społeczności użytkowników.

Firmy korzystające z wyszukiwarek i ryzyko ujawnienia informacji w Internecie to nie tylko zjawisko amerykańskie. W 2006 roku prezydent Francji Jacques Chirac ogłosił plany stworzenia europejskiej wyszukiwarki, która mogłaby konkurować z Google. Innym jest Accoona www.accoona.com/), wyszukiwarka oparta na sztucznej inteligencji, wspierana przez chiński rząd, skierowana na rynki europejskie i chińskie. Accoona zatrudniła nawet byłego prezydenta Billa Clintona jako rzecznik prasowy. Chociaż Accoona jest ważna, Baidu (www.baidu.com/) jest jeszcze ważniejsza. Opisana przez The New York Times jako „chiński dla Google”  Baidu jest najpopularniejszą wyszukiwarką w Chinach i najsilniejszym tam konkurentem Google. Mozilla Online, chińska spółka zależna Mozilla Corporation, podpisała niedawno umowę z Baidu, aby zapewnić, że chińskie wydania Firefoksa udostępnią Baidu za pośrednictwem wbudowanego interfejsu wyszukiwania Firefoksa. Sojusz ten kontrastuje z układem w Ameryce Północnej, gdzie Google jest domyślną wyszukiwarką Firefox. Chiny mają dwa miliardy ludzi, z których rosnący procent każdego dnia dołącza do sieci. Wszyscy słyszeliśmy historie o wielkiej zaporze ogniowej w Chinach i chińskiej cenzurze; można sobie tylko wyobrazić ryzyko ujawniania informacji przez Internet w takim środowisku, w którym rządowa cenzura i dostęp do dzienników są często kosztem prowadzenia działalności gospodarczej w regionie.

Zaufanie w Cyberspace : Audyt

Audyt umożliwia audytorowi i stronie, w imieniu której audytor pracuje, upewnienie się, że CSP postępuje zgodnie z procesami i standardami oraz posiada mechanizmy kontroli bezpieczeństwa, które zostały uzgodnione w umowie SLA. Z punktu widzenia zabezpieczania informacji pojęcie cloud computing jest podobne do outsourcingu IT. Jednak przetwarzanie w chmurze ma takie funkcje, jak wielodostępność, skalowanie i skalowanie w poziomie, co wprowadza szereg komplikacji, dla których nie istnieją żadne wcześniejsze mechanizmy zabezpieczeń. Istnieje wiele standardów dotyczących bezpieczeństwa i prywatności procesów, danych i infrastruktury w zakresie bezpieczeństwa informacji, które można również rozszerzyć na przetwarzanie w chmurze. CloudCommons SMI definiuje miernik zwany audytowalnością w ramach kategorii odpowiedzialności, która jest zdolnością klienta do sprawdzenia, czy usługodawca przestrzega standardów, procedur i zasad, które zostały uzgodnione w umowie SLA. Oczywiście CSP przestrzegający powszechnie znanych i akceptowanych standardów oraz bardziej otwarty na audyty ze strony klienta może być bardziej zaufany niż innym.

Ciemna Strona Neta : Jak stracić twarz na Facebooku

Pewnego ponurego dnia 2009 roku młody białoruski aktywista Paweł Laszkowicz na własnej skórze poznał niebezpieczeństwa związane z nadmiernym tworzeniem sieci społecznościowych. Będąc studentem pierwszego roku publicznego uniwersytetu w Mińsku, niespodziewanie wezwano go do dziekanatu, gdzie spotkało go dwóch podejrzliwie wyglądających mężczyzn, którzy powiedzieli mu, że pracują dla KGB, jednej organizacji publicznej, której białoruskie władze postanowiły nie zmieniać nazwy nawet po jesieni komunizmu (to grupa świadoma marki). Funkcjonariusze KGB zadawali Pawłowi różnego rodzaju szczegółowe pytania dotyczące jego podróży do Polski i Ukrainy, a także jego przynależności do różnych ruchów antyrządowych. Ich rozległa wiedza o wewnętrznych sprawach białoruskiej opozycji – a zwłaszcza o własnym zaangażowaniu Pawła w nią, o czym uważał, że nie jest powszechnie znana – bardzo go zaskoczyła. Ale potem wszystko stało się jasne, kiedy duet KGB załadował swoją stronę na vkontakte.ru, popularnym rosyjskim portalu społecznościowym, wskazując, że został wymieniony jako „przyjaciel” przez wielu znanych działaczy opozycyjnych. Wkrótce potem goście zaproponowali Laszkowiczowi podpisanie nieformalnej „umowy o współpracy” z ich organizacją. Odmówił – co w końcu może go drogo kosztować, ponieważ wielu studentów sympatyzujących z opozycją i niechętnych do współpracy z władzami zostało w przeszłości wyrzuconych z uniwersytetów. Nigdy nie dowiemy się, ilu innych nowych podejrzanych KGB dodało do swojej listy, przeglądając profil Lyashkovicha. Białoruś nie jest odosobnionym przypadkiem, a inne rządy szybko zaczynają rozumieć ogromną wartość wywiadowczą informacji umieszczanych na portalach społecznościowych. Niektórzy chcą nawet prowadzić własne witryny, być może po to, by zaoszczędzić na kosztach nadzoru. W maju 2010 roku, po zablokowaniu Facebooka i wyczuwając niezaspokojony i rosnący popyt na usługi sieci społecznościowych wśród swojej ludności, Wietnamskie Ministerstwo Informacji i Komuikaji przeniosło się, aby otworzyć własny serwis społecznościowy, w którym pracuje trzystu programistów komputerowych, grafików, techników i redaktorów. Trudno powiedzieć, czy stanie się popularna – z nazwą taką jak GoOnline wydaje się to długa perspektywa – ale z punktu widzenia rządu szpiegowanie członków sieci społecznościowej, gdy zna wszystkie ich hasła, jest jeszcze łatwiejsze. Demokratyczne rządy również uległy takim praktykom. Na przykład indyjska policja na spornym terytorium Kaszmiru bacznie śledzi wszelkie publikacje na Facebooku dotyczące Kaszmiru. Po znalezieniu czegoś podejrzanego dzwonią do użytkowników, pytają o ich działania i nakazują im zgłoszenie się na posterunki policji. (To skłoniło wielu aktywistów w Kaszmirze do rozpoczęcia rejestracji pod fałszywymi nazwiskami, co jest praktyką, którą Facebook, chcąc nie osłabić jakości swojej znakomitej bazy użytkowników fałszywymi wpisami, zdecydowanie odradza). Oczywiście nie wszystkie sieci społecznościowe są szkodliwe. Bycie częścią sieci ma wiele zalet. Na przykład znacznie łatwiej i taniej jest dotrzeć do innych członków, gdy zajdzie taka potrzeba (np. Przed zbliżającym się protestem). Ale członkostwo w sieci jest czymś w rodzaju miecza obosiecznego: jego użyteczność może z łatwością przynieść odwrotny skutek, jeśli niektóre segmenty zostaną naruszone, a ich relacje z innymi członkami staną się powszechnie znane. Przed pojawieniem się mediów społecznościowych, represyjne rządy wymagały wiele wysiłku, aby dowiedzieć się o ludziach, z którymi dysydenci są związani. Tajna policja mogła wyśledzić jeden lub dwa kluczowe kontakty, ale utworzenie obszernej listy – z nazwiskami, zdjęciami i danymi kontaktowymi – było niezwykle kosztowne. W przeszłości KGB uciekało się do tortur, aby dowiedzieć się o powiązaniach między aktywistami; dziś po prostu muszą wejść na Facebooka. Niestety, nadal istnieje powszechne przekonanie, że autorytarne rządy i ich służby bezpieczeństwa są zbyt głupie i technofobiczne, aby szukać takich danych na portalach społecznościowych. W swojej książce Children of Jihad z 2007 roku Jared Cohen z Departamentu Stanu USA pisze, że „Internet jest miejscem, w którym irańska młodzież może swobodnie działać, wyrażać siebie i uzyskiwać informacje na swoich własnych warunkach. [Oni] mogą być kimkolwiek i mówić, co tylko zechcą, ponieważ działają wolni od aparatu policyjnego państwa. . . . Prawdą jest, że rząd próbuje monitorować ich dyskusje i interakcje online, ale jest to praktycznie niemożliwe przedsięwzięcie ”. Jest to po prostu nieprawdziwe, czego dowodzą następstwa protestów z 2009 roku; dla osoby, której powierzono opracowanie skutecznej polityki internetowej wobec Iranu, Cohen jest narażony na niebezpiecznie przesadny cyberutopizm. (Można tylko mieć nadzieję, że to nie panglossowski optymizm Cohena, który Condoleezza Rice, która zatrudniła go do pracy w dziale planowania polityki Departamentu Stanu, chwaliła, mówiąc, że „Jared miał wgląd w Iran, którego my [w rządzie USA] nie nie mam ”) Jak się okazuje, władze irańskie poświęciły dużo czasu na analizę serwisów społecznościowych po wyborach, a nawet wykorzystały część zebranych informacji do wysłania ostrzeżeń do Irańczyków w diasporze. Podczas procesów o polowanie na czarownice w Iranie w 2009 roku władze wykorzystały przynależność dysydenta do akademickiej listy mailingowej prowadzonej przez Uniwersytet Columbia jako dowód, że szpiegował on dla zachodnich mocarstw. Dlatego nawet jeśli internetowa sieć społecznościowa ma minimalną wartość wywiadowczą, przyjaźń z niewłaściwymi osobami dostarcza dowodów, które można wykorzystać w sądzie. Wcześniej takie informacje były trudne do znalezienia; dysydenci często podejmowali dodatkowe wysiłki, aby to ukryć. Belinda Cooper, amerykańska aktywistka, która spędziła późne lata 80. w NRD i była członkiem kilku dysydenckich grup ekologicznych, pisze, że jedną z zasad stosowanych przez dysydentów wjeżdżających i wyjeżdżających z Niemiec Wschodnich było „nigdy nie przynosić książek adresowych podczas wyjazdu na wschód. (jak straż graniczna mogłaby i zrobiłaby ich kserokopię). ” Dziś sytuacja zmieniła się diametralnie, ponieważ listy naszych znajomych na Facebooku są dostępne dla każdego. Niestety, pozostawanie poza Facebookiem nie jest rozsądną opcją dla większości dysydentów. Muszą być obecni w tych przestrzeniach, aby przeciwdziałać rządowej propagandzie, podnosić świadomość na temat ich pracy na Zachodzie, mobilizować poparcie dla swoich celów wśród krajowej publiczności i tak dalej. Oczywiście mogą to robić anonimowo, ale dzięki anonimowości ich zaangażowanie jest znacznie mniej skuteczne. Rzecznictwo Sacharowa odniosłoby znacznie mniejszy sukces, gdyby nie praktykował go otwarcie. Liczne badania naukowe potwierdzają, że za każdym razem, gdy udostępniamy dane osobowe w serwisie społecznościowym, zwiększa się prawdopodobieństwo, że ktoś użyje ich do przewidzenia, jacy jesteśmy, a wiedza o tym, jacy jesteśmy, jest dobrym pierwszym krokiem w kierunku kontrolowania naszego zachowania. Badanie przeprowadzone w 2009 roku przez naukowców z MIT pokazało, że można przewidzieć – z uderzającą dokładnością – orientację seksualną użytkowników Facebooka, analizując ich internetowych znajomych. Nie jest to dobra wiadomość dla osób z regionów takich jak Bliski Wschód, gdzie homoseksualizm wciąż niesie ze sobą poważne piętno społeczne. W innym badaniu z 2009 roku przeprowadzonym przez naukowców z University of Cambridge, którego raport zatytułowany jest „Eight Friends Are Enough”, wykazano, że na podstawie ograniczonych informacji, które Facebook ujawnia wyszukiwarkom takim jak Google, można wyciągnąć dokładne wnioski na temat informacji, które są nie są ujawniane. Wiele funkcji, które sprawiają, że serwisy społecznościowe są tak łatwe w użyciu – na przykład wyszukiwanie znajomych, którzy są już członkami serwisu – ułatwia również śledzenie tożsamości w wiadomościach e-mail, a nawet śledzenie działań użytkowników w różnych innych witrynach. Większość z nas wie, jak łatwo jest sprawdzić, czy nasi znajomi zarejestrowali się już w określonych serwisach społecznościowych, po prostu przyznając Facebookowi, Twitterowi lub LinkedIn tymczasowy dostęp do naszej książki adresowej, aby witryny te mogły automatycznie sprawdzać adresy e-mail nasze kontakty z ich listami istniejących użytkowników. Jeśli pięciu naszych znajomych e-maili jest już użytkownikami Twittera, Twitter może nas o tym powiadomić. Jak na razie dobrze. Problem w tym, że tę samą operację można wykonać również na wrogach. Adresy e-mail można dodawać do książek adresowych ręcznie, bez konieczności wysyłania e-maili do tej osoby. Tak więc, znając tylko adres e-mail danej osoby, można znaleźć jej konta we wszystkich serwisach społecznościowych, nawet jeśli nie korzysta z nich pod swoim prawdziwym imieniem i nazwiskiem. Badanie przeprowadzone w 2010 roku przez francuski instytut badawczy Eurecom miało na celu zbadanie luk w zabezpieczeniach, które taka łatwość użytkowania stwarza dla użytkownika. Po pierwsze, naukowcy znaleźli w Internecie 10,4 miliona adresów e-mail; następnie zaimportowali je do swoich książek adresowych; i wreszcie opracowali prosty skrypt, aby automatycznie sprawdzać w każdym z popularnych serwisów społecznościowych, czy mają użytkowników odpowiadających na te e-maile. W rezultacie zidentyfikowali ponad 876941 e-maili powiązanych z 1228644 profilami, przy czym 199161 e-maili miało konta w co najmniej dwóch witrynach, 55660 na trzech itd. (11 osób miało konta e-mail powiązane z siedmioma portalami społecznościowymi jednocześnie). Jak można było się spodziewać, niektórzy użytkownicy, którzy mieli konta w wielu serwisach społecznościowych, podawali każdemu z nich różne informacje (na przykład o swojej orientacji seksualnej, lokalizacji lub wieku). Jest wysoce prawdopodobne, że spora część badanych osób nie chciała, aby ktokolwiek łączył rodzaj błahostek, które publikują na Twitterze ze swoją pracą, a mimo to badacze znaleźli co najmniej 8802 użytkowników, którzy mieli konta na LinkedIn, portal społecznościowy sieć dla profesjonalistów i Twitter. Jeśli ktoś z tej puli ma listę, powiedz: „Stany Zjednoczone Departament Obrony ”jako pracodawca na swoim profilu LinkedIn, można było sprawdzić, o czym ta osoba tweetowała, nawet jeśli tweeting był wykonywany pod pseudonimem.

Dlatego tak długo, jak konta w sieciach społecznościowych są powiązane z jednym adresem e-mail, niezwykle łatwo jest powiązać je z konkretną osobą, poznać imię tej osoby i zobaczyć, w jakie ukryte niedyskrecje ta osoba może się angażować w trybie offline lub online. Na przykład badacze odnaleźli profil żonatego profesora po pięćdziesiątce, który był również niezwykle aktywny na różnych portalach randkowych. Podobnie aktywiści, którzy przesyłają wrażliwe filmy na YouTube, myśląc, że nikt nie może odgadnąć ich prawdziwych nazw na podstawie ich nazw użytkowników, mogą być znacznie bardziej narażeni na ryzyko, jeśli używają tego samego adresu e-mail, aby uzyskać dostęp do Facebooka, a tajna policja dowie się, jaki jest ten adres e-mail. Po ostrzeżeniu o takich lukach wiele serwisów społecznościowych nieznacznie zmodyfikowało swoje procedury operacyjne, co utrudnia masowe przeprowadzanie takich kontroli. Niemniej jednak nadal można znaleźć wiele tożsamości online dla poszczególnych e-maili, sprawdzając ręcznie. Nie jest to funkcja, która wkrótce zniknie, choćby dlatego, że pozwala portalom społecznościowym poszerzyć bazę użytkowników. Korporacje już teraz wykorzystują coraz bardziej społeczny charakter sieci. Hotele używają teraz lokalizacji, dat i nazw użytkowników, które pojawiają się w witrynach takich jak TripAdvisor czy Yelp, do triangulacji tożsamości gości. Jeśli znajdą prawdopodobne dopasowanie, a opinia będzie pozytywna, zostanie dodana do rejestru preferencji gości hotelu. Jeśli wynik jest negatywny, podróżni mogą otrzymać kupon, aby zrekompensować niedogodności lub, w najgorszym przypadku, zostać oznaczeni jako „problematyczni goście”. Barry Hurd, dyrektor generalny 123 Social Media z siedzibą w Seattle, firmy zarządzającej reputacją, która współpracuje z ponad pięciuset hotelami, uważa, że ​​„technologia rozwija się tak szybko, że w przyszłości każdy przedstawiciel hotelu mógłby mieć pasek narzędzi na swoim komputer, który jednym kliknięciem myszy ujawnia wszystko o gościu – każdą recenzję, preferencje gościa, a nawet prawdopodobieństwo, że będziesz pozytywnie lub negatywnie nastawiony do Twojego pobytu ”. Oczywiście hotele nie są autorytarnymi rządami – nie będą więzić gości w swoich pokojach za wyrażanie odmiennych poglądów – ale jeśli uda im się poznać prawdziwą tożsamość kryjącą się za wyimaginowanymi pseudonimami internetowymi, to samo zrobi tajna policja. Co więcej, korporacyjne dążenie do dezanonimizacji tożsamości użytkowników może wkrótce zasilić rynek narzędziami, które mogą zautomatyzować ten proces, a narzędzia te można następnie łatwo wykorzystać w bardziej złowieszczy sposób. Agencje wywiadowcze w Stanach Zjednoczonych już skorzystały z technologii gromadzenia danych stworzonej na Wall Street. TextMiner, jedna z takich platform opracowanych przez Exegy, firmę współpracującą zarówno z agencjami wywiadowczymi, jak i bankami z Wall Street, może przeszukiwać listy lotów, harmonogramy przewozów i zapisy telefonów, a także wzorce, które mogą tworzyć numery ubezpieczenia społecznego lub konta e-mail. „To, co tej jednej konkretnej agencji zajęło jedną godzinę, mogą teraz zrobić w ciągu jednej sekundy” – mówi Ron Indeck, dyrektor ds. Technologii w Exegy, w zdaniu, które brzmi niezwykle podobnie do radości chińskich wykonawców z TRS Solutions. W ten sposób można przeszukiwać i porządkować artykuły z całego roku z jednej organizacji w „kilka sekund”. Sektor prywatny z pewnością będzie nadal wytwarzał innowacje, które mogą przynieść korzyści tajnej policji na całym świecie. Nie znajdując sposobów na zablokowanie transferu takich technologii do państw autorytarnych czy, co ważniejsze, takich ograniczeń, jakie powinny być wszędzie narzucane takim technologiom, Zachód pośrednio angażuje się w prace tajnej policji w Chinach i Iranie. Ale nawet przy braku takich narzędzi twórcze hacki wykonają zadanie dobrze. W ramach wspólnego projektu z 2010 r. Naukowców z Uniwersytetu Technicznego w Wiedniu, Uniwersytetu Kalifornijskiego w Santa Barbara i Eurecom odkryto interesujący sposób deanonimizacji użytkowników Xing, popularnego niemieckiego portalu społecznościowego, podobnego do Facebooka i LinkedIn. Ponieważ większość z nas należy do wielu różnych grup społecznościowych, które różnią się w zależności od naszych pasji, historii życia i stylu życia – na przykład Save the Earth, Feed the Children of Africa, absolwenci najlepszego uniwersytetu na świecie, wegetarianie Świat zjednoczony – prawdopodobieństwo, że ty i twoi przyjaciele należycie do dokładnie tej samej grupy, jest niewielkie (po uczęszczaniu do tej samej uczelni sztuk wyzwolonych w Nowej Anglii, twój najlepszy przyjaciel może również chcieć uratować ziemię i nakarmić dzieci w Afryce, ale także kochać Texas grillowe żeberka). Portale społecznościowe zwykle nie ukrywają list członków grupy przed osobami niebędącymi członkami, aby nie stawiać zbyt wielu barier komunikacyjnych. W ten sposób możliwe jest stworzenie niemal unikatowego identyfikatora, „grupowego odcisku palca” – pomyśl o tym jako o liście wszystkich grup na Facebooku, do których należy dany użytkownik – dla każdego z nas. Najbardziej oczywistym miejscem, w którym można szukać pasującego odcisku palca, byłaby historia naszych przeglądarek internetowych, ponieważ jest to miejsce, w którym przechowywany jest zapis wszystkich grup – i oczywiście wszystkich innych odwiedzanych witryn internetowych. Aby ukraść historię naszej przeglądarki, wystarczy, że klikniemy złośliwy odsyłacz, taki jak ten w tajemniczy sposób dodany do petycji e-mailowej RSF, a wszystko, co przeglądaliśmy w ciągu ostatnich kilku dni, nie będzie już prywatną wiedzą. Według raportu z 2010 r. Stworzenie pasującego „odcisku palca grupy” wymagało sprawdzenia 92 000 adresów URL, co zajęło mniej niż minutę. Naukowcom udało się poprawnie odgadnąć tożsamość celu w 42% przypadków. Innymi słowy, jeśli ktoś zna Twoją historię w Internecie, a Ty jesteś zapalonym użytkownikiem serwisów społecznościowych, ma duże szanse na ustalenie Twojego imienia. Wkrótce tajna policja będzie mogła po prostu zajrzeć do dziennika z Twojej ulubionej kafejki internetowej i dowiedzieć się, kim jesteś, nawet bez pytania o kopię paszportu (chociaż ta ostatnia opcja jest również coraz powszechniejsza w autorytarnych rządach). Trudno się dziwić, że tajna policja w reżimach autorytarnych jest podekscytowana wykorzystaniem takich luk w celu wypełnienia luk w swoich bazach danych. Mogą na przykład znać adresy e-mail przeciwników rządowych, ale nie znać ich tożsamości. Aby poznać ich nazwiska, mogli wysyłać przeciwnikom fałszywe e-maile zawierające złośliwe linki, których celem jest kradzież historii ich przeglądarek. W ciągu zaledwie kilku minut będą mogli dołączyć nazwiska (a także zdjęcia, dane kontaktowe i informacje o powiązanych połączeniach) do swoich dość nielicznych wpisów w bazie danych. Innym problemem jest to, że serwisy społecznościowe, takie jak Facebook, nie sprawdzają dokładnie zewnętrznych programistów – tych, którzy pracują nad wszystkimi tymi grami online, quizami i aplikacjami – pod kątem zaufania. (Do niedawna nie narzucali też wyraźnych ograniczeń co do ilości danych użytkowników, do których takie aplikacje mogą mieć dostęp, niezależnie od ich rzeczywistych potrzeb.) Oznacza to w istocie, że inteligentny reżim autorytarny może ułożyć zabawny quiz na temat Filmy z Hollywood i używaj go do zbierania poufnych informacji o przeciwnikach. To koszmarny scenariusz dla aktywistów, którzy walczą o ukrycie swoich powiązań przed władzami; oczywiście, jeśli rząd zna wszystkich znajomych z Facebooka swoich najbardziej zaciekłych przeciwników politycznych, byłoby głupotą nie zwracać szczególnej uwagi również na ich działania w Internecie, ponieważ zawsze istnieje duża szansa, że ​​oni również stanowią zagrożenie. Nie pomaga też fakt, że w nieprzemyślanym poszukiwaniu innowacji firmy technologiczne całkowicie pomijają konteksty, w których działa wielu ich użytkowników, jednocześnie znacząco nie doceniając konsekwencji popełnienia błędów. Na początku 2010 roku, kiedy Google uruchomił Google Buzz, podobną do Twittera usługę, nie zadbali o ochronę tożsamości wielu swoich użytkowników, ujawniając swoje listy kontaktów w błędnym przekonaniu, że nikt nie miałby nic przeciwko takim naruszeniom ich prywatności. (nawet Andrew McLaughlin, były dyrektor generalny Google i zastępca dyrektora ds. technologii w administracji Obamy, został uwięziony w pułapce Buzza, ponieważ wielu jego byłych kolegów Google pojawiło się na jego liście kontaktów). Chociaż dyrektorzy Google bagatelizowali znaczenie wypadku, twierdząc, że nikt nie został poważnie ranny w tej klęsce, tak naprawdę nie wiemy, ile nowych nazwisk i kontaktów zostało w rezultacie dodanych do baz danych KGB. Rzeczywistych kosztów błędnej oceny Google nie można od razu obliczyć.

Audyt Umysłu Hackera : Techniki zautomatyzowanej i masowej eksploatacji

Celem zautomatyzowanych technik masowej eksploatacji jest dosłowne skompromitowanie jak największej liczby systemów przy jak najmniejszym wysiłku w imieniu cyberprzestępcy.

Technika różnicująca

Istnieje kilka czynników odróżniających ataki między technikami wykorzystywanymi przez konwencjonalne narzędzia ataku, takie jak exploity oprogramowania, a tymi wdrażanymi przez zautomatyzowane narzędzia do masowej eksploatacji.

* Poziomy hałasu związanego z atakiem Ze względu na techniki zaimplementowane przez zautomatyzowane agenty ataku, takie jak masowe rootowniki, generowana jest znaczna ilość hałasu związanego z atakiem. Pierwszą tego przyczyną jest to, że narzędzie ataku wykorzystujące technikę masowej eksploatacji zaatakuje wiele hostów, często sekwencyjnie, w bardzo krótkim czasie – cecha ataku, którą łatwo wykryć urządzenie wykrywające włamania. Drugą jest to, że zautomatyzowani agenci eksploatacji będzie często próbował zaatakować cel niezależnie od jego podatności na problem, który narzędzie atakujące zostało napisane, aby wykorzystać. Żadna z tych cech ataku nie jest koniecznie endemiczna dla niezautomatyzowanego agenta ataku, a widziane razem prawie zawsze wskazują na narzędzie typu masowego rootera, wykorzystujące techniki wykorzystywania masowych celów.

* Zmniejszona liczba faz ataku Zwykle narzędzie ataku wykorzystuje

Techniki wykorzystujące masowe cele zawiodą w wykonaniu początkowych faz rozpoznania ataku, które normalnie będą wykonywane przez przeciwnika podczas namierzania hosta przy użyciu niezautomatyzowanych technik ataku. Dzieje się tak, ponieważ często nie ma potrzeby stosowania narzędzia ataku wykorzystującego technikę masowej eksploatacji, aby zaangażować się w jakąkolwiek formę rozpoznania celu, ponieważ takie działanie dodałoby hałas do już bardzo hałaśliwego ataku i wydłużyło czas wymagany przez narzędzie do ataku na każdego hosta.

Zautomatyzowane podejście agenta do potrąceń inhibitorów ataku

Postulujemy, że biorąc pod uwagę omówione cechy ataku związane z użyciem narzędzi masowego ataku rooterami, jesteśmy w stanie dokonać dedukcji odnośnie wartości kilku elementów znajdujących się w obiekcie inhibitora.

Postrzegane prawdopodobieństwo wykrycia przy próbie

Stosunek przeciwnika do prawdopodobieństwa wykrycia danej próby można określić poprzez liberalne użycie narzędzi typu masowego rootera ze względu na ilość hałasu ataku typowego dla tych narzędzi. Niestety można wyciągnąć dwa możliwe odliczenia:

* Przeciwnik nie zdaje sobie sprawy ze zwiększonego prawdopodobieństwa wykrycia spowodowanego użyciem narzędzia typu masowego rootera. Ta dedukcja wskazuje również na przeciwnika, któremu brakuje technicznego zrozumienia zarówno tego, co robi narzędzie ataku, jak i artefaktów bezpieczeństwa sieci, takich jak IDS.

* Chociaż przeciwnik jest w pełni świadomy zwiększonego prawdopodobieństwa wykrycia spowodowanego użyciem masowego rootera, zaniedbuje wspomniane zwiększone prawdopodobieństwo. Taka postawa jest typowa dla przeciwnika, który uważa, że ​​chociaż może nastąpić wykrycie ataku, przypisanie ataku jest mało prawdopodobne.

Postrzegane prawdopodobieństwo przypisania udziału w przypadku wykrycia

Stosunek przeciwnika do prawdopodobieństwa wykrycia atrybucji jest determinowany przez wcześniejsze obserwacje dotyczące stosunku przeciwnika do prawdopodobieństwa wykrycia danej próby, stąd obserwacje te idą w parze z wcześniej odnotowanymi obserwacjami dotyczącymi stosunku przeciwnika do postrzeganego prawdopodobieństwo wykrycia:

* W przypadkach, gdy przeciwnik nie jest świadomy zwiększonego prawdopodobieństwa wykrycia spowodowanego użyciem narzędzia typu masowego rootera, postrzegane prawdopodobieństwo przypisania danej detekcji prawdopodobnie nie ulegnie zmianie. Warto zauważyć, że w takich przypadkach rzeczywiste prawdopodobieństwo atrybucji po wykryciu prawdopodobnie wzrośnie, biorąc pod uwagę, że przeciwnik nie podejmie żadnych dodatkowych środków, aby zapobiec przypisaniu.

* W przypadkach, gdy przeciwnik jest w pełni świadomy zwiększonego prawdopodobieństwa wykrycia, a tym samym zwiększonego prawdopodobieństwa atrybucji, atakujący prawie na pewno podejmie dodatkowe środki, aby zapobiec przypisaniu w przypadku wykrycia. Jak czytamy w rozdziale 2, podjęcie takich działań w celu zrównoważenia czynników hamujących atak, takich jak prawdopodobieństwo przypisania, prawie zawsze oznacza zużycie dodatkowych zasobów. Rzeczywisty przykład zasobu, który można wykorzystać do zmniejszenia prawdopodobieństwa atrybucji, może być wtórnym, skompromitowanym systemem do przeprowadzania ataków typu mass rooter, a tym samym dalszej ochrony tożsamości osoby atakującej i zmniejszania prawdopodobieństwa atrybucji.

Agile Leadership : ROZWÓJ UMIEJĘTNOŚCI MYŚLENIA POZIOMEGO

Jeśli nie jesteś kimś, komu myślenie horyzontalne przychodzi naturalnie, jest dobra wiadomość. Jest to umiejętność, której można się nauczyć. Wyobraź sobie, że pracujesz nad prawdziwym „drapieżnikiem”, próbując rozwiązać szczególnie kłopotliwy problem. To dobry czas na przemyślany spacer. Pomysł na spacer myślowy pochodzi od inżyniera i eksperta od kreatywności Michała Michalko. Spacer myślowy może być szybką pętlą po biurze; w ładny dzień może cię zabrać na parking, a może nawet załatwić kilka spraw. Spacer myślowy może być nawet myślą „przejażdżką” lub podróżą metrem. Gdziekolwiek się wybierasz, notuj rzeczy, które napotkasz przypadkowo, odbierzesz lub kupisz. W biurze może to być fontanna lub dyspenser taśmy. Podczas spaceru na dworze prawdopodobnie spotkasz odgłosy ćwierkania ptaków, czyli żonkil zaczyna kwitnąć, wyrzucona butelka wody lub cokolwiek innego. Na zlecenie mogą to być przedmioty, które odbierasz w sklepie. Nie szukaj rzeczy, które są związane z problemem lub pomysłem, nad którym pracujesz, raczej wybieraj elementy bez widocznego związku z twoim problemem lub pomysłem i bez wyraźnego związku między sobą. Kiedy wrócisz z myśli, idź i zanotuj cechy przedmiotów, które napotkałeś lub zdobyłeś. W przypadku tego dozownika taśmy możesz zapisać słowa, takie jak lepki, przezroczysty, wirujący. Teraz spróbuj znaleźć związek między jedną lub więcej cechami a problemem lub pomysłem, nad którym pracujesz. Oto przykład autora Michalko, w jaki sposób spacer myślowy wygenerował nowe spostrzeżenia dla jednego inżyniera. Inżynier pracował nad bezpiecznymi i skutecznymi sposobami usuwania lodu z linii energetycznych podczas burz lodowych. Skończył mu się pomysł i żaden z nich nie wydawał się właściwy. Zrobił sobie przerwę i poszedł na spacer. Podczas spaceru odwiedził sklep, w którym można było kupić kilka różnych odmian miodu w różnych pojemnikach. Sklep reklamował miód wycinkiem wielkiego niedźwiedzia trzymającego słoik miodu. Kupił słoik, aby zabrać go do domu i wrócił do swojego biura. Siedząc przy biurku, jednocześnie myśląc o miodzie, niedźwiedziu z wycięciami i problemie z linią elektryczną, wymyślił całkiem niezłe rozwiązanie. Wyobraź sobie, pomyślał, stawiając garnek miodu na szczycie każdego słupa mocy. To przyciągnęłoby niedźwiedzie, a niedźwiedzie wspinałyby się po tyczkach, aby dostać się do miodu. Ich wspinaczka spowodowałaby kołysanie się słupów i drgania lodu na drutach. Chociaż był to głupi pomysł, skłonił go do przemyślenia zjawiska wibracji, które doprowadziło go do rozwiązania związanego z wibracjami. Firma energetyczna wdrożyła rozwiązanie polegające na sprowadzeniu helikopterów do zawisania nad oblodzonymi liniami energetycznymi. Ich zawisanie powodowało wibracje lodu z linii energetycznych. Rozwiązanie nie miało nic wspólnego ani z miodem, ani z niedźwiedziami, ale być może nie dotarłby tam bez nich