Ile Google wie o Tobie : Podsumowanie

Omówiono wiele rodzajów informacji, które użytkownicy ujawniają podczas korzystania z bezpłatnych narzędzi i usług internetowych Google. Tu umieszczamy te ujawnienia w kontekście, badając wiele osób i organizacji, którym użytkownicy muszą ufać, czy tego chcą, czy nie, za każdym razem, gdy siadają przy swoich komputerach. Przeanalizowaliśmy również, w jaki sposób informacje przepływają celowo i nieumyślnie z poszczególnych komputerów i urządzeń sieciowych, a także przeanalizowaliśmy potencjalne ryzyko podsłuchania, Internet na serwery Google. Mamy do czynienia z hierarchią zagrożeń. Chociaż wszystkie komputery nieumyślnie ujawniają informacje za pośrednictwem promieniowania elektromagnetycznego, jest mało prawdopodobne, aby informacje te były faktycznie monitorowane, z wyjątkiem bardzo szczególnych okoliczności, takich jak nadzór organów ścigania lub szpiegostwo przemysłowe. Bardziej znaczącym problemem są technologie sieci bezprzewodowej. Komputery obsługujące połączenia bezprzewodowe i punkty dostępu bezprzewodowego aktywnie transmitują informacje sieciowe z odległości od metrów do mil, ale chociaż jest to ważne, zjawisko to jest nadal zlokalizowane na stosunkowo niewielkim obszarze geograficznym. Najbardziej znaczące ujawnienie informacji ma miejsce, gdy interakcja internetowa przechodzi przez sieć i urządzenia komputerowe pod kontrolą stron zewnętrznych, najprawdopodobniej w tym dostawcy usług internetowych i sieci szkieletowej, zanim ostatecznie trafią na serwery Google. Ostatecznie syrena pieśń bezpłatnych usług online zachęca nas do ujawnienia ogromnych ilości informacji o naszym życiu osobistym, korporacyjnym i organizacyjnym.

Zaufanie w Cyberspace : Dostarczanie Zaufania

Zaufanie do świadczenia to zaufanie strony do usług lub zasobów udostępnianych przez usługodawcę. Ta klasa zaufania jest najbardziej odpowiednia dla zaufania, które chcemy ustanowić w TMS do przetwarzania w chmurze. Spanoudakis i LoPresti w swoim artykule zajmują się zaufaniem zaopatrzenia w SOA. Autorzy zwracają uwagę, że przy obliczaniu zaufania należy brać pod uwagę zarówno subiektywne, jak i obiektywne informacje. Informacje subiektywne to rekomendacje i opinie innych użytkowników, a informacje obiektywne to informacje o zachowaniu i jakości usługi uzyskiwane w trakcie działania. W przedstawionym w artykule modelu koncepcyjnym zaufanie do usługi zależy od dowodów zebranych przez monitorujących. Monitory składają się z zasad i założeń, na podstawie których TMP mają być gromadzone jako dowody. Dowody są dwojakiego rodzaju, subiektywne i obiektywne. Każdy dowód jest jednak powiązany z kontekstem i jest ważny tylko w tym kontekście. Zaufanie jest zatem obliczane przez stronę trzecią i rozprowadzane w kartach zaufania. Karta zaufania staje się certyfikatem zaufania, gdy strona trzecia przyjmuje za nią odpowiedzialność prawną. Oparta na agentach mobilnych technika oceny zaufania w usługach internetowych została omówiona w ref. [9]. Autorzy przedstawiają swój model w artykule, na który składa się serwer Web Service Agent Framework (WSAF). Serwer WSAF działa jako pośrednik między dostawcami usług a klientami. Agenci rezydują w WSAF i pośredniczą w obsłudze klienta. Udostępnia klientowi ten sam interfejs co dostawca usług, ale także monitoruje usługę. W artykule przedstawiono wykonalny model agenta mobilnego; brakuje mu jednak kompletności, ponieważ uwzględnia tylko zgodność z SLA. Klienci usługi i dostawcy usług dostarczają serwerowi WSAF swoje zasady i umowy SLA w postaci plików XML w predefiniowanym schemacie z predefiniowanymi atrybutami. Gdy użytkownik prosi o usługę, serwer WSAF dopasowuje najlepszego możliwego dostawcę usług do zasad XML dostarczonych przez użytkownika i ujawnia użytkownikowi interfejs dostawcy usług. Model podany przez Habib umożliwia konsumentom identyfikację wiarygodnych i godnych zaufania dostawców chmury. Zaufanie, którym mają do czynienia autorzy w artykule, to zaufanie tymczasowe. Zaproponowali wieloaspektową architekturę TMS dla rynku przetwarzania w chmurze. Analizują różne atrybuty zaufania w chmurze, takie jak bezpieczeństwo i zgodność wydajności, które są oceniane przez wiele źródeł informacji i opracowują schemat zarządzania zaufaniem, aby pomóc w wyborze godnego zaufania dostawcy chmury. Biorą pod uwagę informacje ilościowe i jakościowe w celu uwzględnienia w TMS. Aby to zrobić, używają pewnego zaufania i określonej logiki jako podstawy miernika zaufania. Przy pewnym zaufaniu modeluje się wiarygodność podmiotu na podstawie opinii, które wyrażają przekonanie, że dana propozycja jest prawdziwa. Każda opinia jest modelowana jako krotka wartości, o = (t, c, f), gdzie t oznacza średnią ocenę, c niepewność związaną ze średnią oceną, oraz f początkowe oczekiwanie przypisane prawdziwości stwierdzenia. Schemat zarządzania zaufaniem obejmuje menedżera rejestracji, w którym dostawcy usług w chmurze rejestrują się, aby móc działać jako sprzedawcy na rynku chmury. Następny jest silnik kwestionariusza oceny konsensusu, który umożliwia dostawcom chmury wypełnienie kwestionariusza CAI poprzez zapewnienie intuicyjnego interfejsu graficznego za pośrednictwem RM. Następnie jest menedżer zaufania (TM), który pozwala użytkownikom chmury określić swoje wymagania i opinie podczas uzyskiwania dostępu do oceny zaufania dostawców chmury. Odbywa się to poprzez udostępnienie im interfejsu sieciowego opartego na sieci Web. Po nim następuje to, co autorzy nazywają zaufaniem silnik semantyki (TSE), który modeluje konfigurację terminów logiki zdań (PLT), które są uważane za zaufane zachowanie dostawcy usług w chmurze pod względem określonego atrybutu. Następnie mają silnik obliczania zaufania (TCE), który składa się z operatorów takich jak AND, OR i NOT, używanych w PLT do obliczania odpowiednich wartości zaufania. Wreszcie mają silnik aktualizacji zaufania (TUE), który umożliwia zbieranie opinii z różnych źródeł i korzeni. Noor proponuje strukturę Trust as a Service (TaaS), aby ulepszyć sposoby zarządzania zaufaniem w środowiskach chmurowych. Wprowadzają adaptacyjny model wiarygodności, który rozróżnia wiarygodne informacje zwrotne o zaufaniu od złośliwych informacji zwrotnych, biorąc pod uwagę możliwości konsumentów usług w chmurze i konsensus większości co do ich informacji zwrotnych.ch struktura, która koncentruje się na zaufaniu do udostępniania, jest zbudowana przy użyciu SOA do dostarczania TaaS. W szczególności ich struktura wykorzystuje usługi sieci Web, aby objąć kilka rozproszonych węzłów TMS, które pomagają kilku klientom w przekazywaniu informacji zwrotnych. Ramy wykorzystują system rekomendacji i informacji zwrotnych do budowania zaufania. Innymi słowy, używają subiektywnej struktury logiki. Zbieranie i ocena informacji zwrotnych o zaufaniu polega na dostarczeniu użytkownikowi tożsamości podstawowej, dostawcy CSP – tożsamości, zestawu informacji zwrotnych o zaufaniu oraz zagregowanych informacji zwrotnych o zaufaniu ważonych według wiarygodności. Każda informacja zwrotna dotycząca zaufania jest znormalizowana i reprezentowana w postaci liczbowej od 0 do 1, gdzie 0 oznacza negatywną informację zwrotną, 1 oznacza pozytywną, a 0,5 oznacza neutralną informację zwrotną. Punkt odniesienia jest obliczany na podstawie konsensusu większości, gdzie wiek klienta pod względem liczby dni, w których aktywnie korzystał z usługi w chmurze, jest brany pod uwagę przy określaniu wiarygodności oceny opinii. Autorzy w dużej mierze opierają swoje wyniki eksperymentalne na informacjach zwrotnych online uzyskanych przez epiniony

Ciemna Strona Neta : Kiedy cenzorzy rozumieją cię lepiej niż twoja mama

Czy takie dostosowanie cenzury jest rzeczywiście możliwe? Czy cenzorzy wiedzieliby o nas tak dużo, że w końcu mogliby zautomatyzować decyzje nie tylko o każdej osobie, ale o każdej osobie działającej w określonym kontekście? Jeśli warto oceniać reklamy online, taka precyzja zachowania nie jest daleko. Google już opiera reklamy, które pokazuje nam, na naszych wyszukiwaniach i treści naszych e-maili; Facebook dąży do tego, aby jego reklamy były znacznie bardziej precyzyjne, biorąc pod uwagę rodzaj treści, które wcześniej „polubiliśmy” na innych stronach oraz to, co „lubią” i kupują nasi znajomi. Wyobraź sobie budowanie systemów cenzury, które są tak szczegółowe i dostrojone do potrzeb informacyjnych ich użytkowników, jak reklama behawioralna, z którą spotykamy się każdego dnia. Jedyna różnica między nimi polega na tym, że jeden system uczy się wszystkiego o nas, aby wyświetlać nam bardziej trafne reklamy, a drugi uczy się wszystkiego o nas, aby zablokować nam dostęp do odpowiednich stron. Dyktatorzy dość wolno zdali sobie sprawę, że mechanizmy dostosowywania stanowiące podstawę tak dużej części Web 2.0 można łatwo przekształcić w cele znacznie bardziej nikczemne niż reklama behawioralna, szybko się uczą. Poświęcając tyle uwagi najbardziej konwencjonalnemu i z pewnością najbardziej nijakiemu sposobowi blokowania kontroli dostępu do określonych adresów URL przez Internet, mogliśmy przeoczyć bardziej fundamentalne zmiany w tej dziedzinie. Cenzura internetowa ma się pogłębić, przyglądając się coraz głębiej rodzajom rzeczy, które robimy online, a nawet offline, i szerzej, włączając coraz więcej wskaźników informacyjnych, zanim zostanie podjęta decyzja o cenzurze. Kiedy latem 2009 roku chiński rząd ogłosił, że będzie wymagał, aby wszystkie komputery sprzedawane w kraju miały zainstalowane na nich jedno specjalne oprogramowanie o nazwie GreenDam, większość relacji medialnych skupiała się na tym, jak monumentalny wydawał się ten plan lub jak kiepskie władze obsługiwał wdrożenie GreenDam. W wyniku ostrej krytyki w kraju i za granicą plan został odrzucony, ale miliony komputerów w chińskich szkołach i kafejkach internetowych nadal korzystają z tego oprogramowania. Pomijając politykę wewnętrzną, GreenDam wyróżniało się innowacyjnym podejściem do cenzury predykcyjnej, prekursorem wysoce spersonalizowanej cenzury, która czeka na nas w najbliższej przyszłości. Wykraczało poza mechaniczne blokowanie dostępu do określonej listy zakazanych zasobów i polegało na faktycznym analizowaniu tego, co robi użytkownik, odgadywaniu, czy takie zachowanie jest dozwolone, czy nie. Z pewnością nie był to najmądrzejszy program w Internecie; niektórzy użytkownicy zgłaszali nawet, że blokowali im dostęp do stron internetowych zaczynających się na literę f w ich adresie URL. To nie realizacja, ale podstawowa zasada, która powinna była się wyróżnić. GreenDam jest niezwykle inwazyjny i pozwala dokładnie przyjrzeć się naturze czynności, w które angażują się użytkownicy. Jest zaprogramowany do badania zachowania komputerów użytkowników – od przeglądania stron internetowych po tworzenie plików tekstowych po przeglądanie zdjęć – i stara się uniemożliwić im angażowanie się w czynności nie lubi (głównie przez zamknięcie odpowiednich aplikacji, np. przeglądarki internetowej lub edytora tekstu). Na przykład kolor różowy jest skrótem GreenDam dla pornografii; jeśli wykryje zbyt dużo różu na oglądanych zdjęciach, zamyka aplikację do przeglądania zdjęć (podczas gdy zdjęcia nagich ciemnoskórych osób, przewrotnie, przechodzą test uprzejmości). Co najbardziej niepokojące, GreenDam posiada również tylne drzwi internetowe, przez które oprogramowanie może komunikować się ze swoją „centralą” i dzielić się spostrzeżeniami behawioralnymi na temat obserwowanego użytkownika. Może to nauczyć inne komputery GreenDam w sieci o nowych sposobach identyfikowania niechcianych treści. GreenDam to system cenzury z ogromnym potencjałem rozproszonego samokształcenia: w momencie, gdy odkryje, że ktoś wpisuje „demokrację” zamiast „demokracji”, aby uniknąć wykrycia, żaden inny użytkownik nie będzie mógł skorzystać z tej luki. Pomyśl o tym jako o Globalnym Mózgu Cenzury. W każdej sekundzie może przyswajać spostrzeżenia pochodzące od milionów użytkowników, którzy próbują obalić system i niemal natychmiast rozpocząć pracę, aby uniemożliwić technicznie takie wywroty. GreenDam to kiepska implementacja niezwykle potężnej i niebezpiecznej koncepcji.

Audyt Umysłu Hackera : Uwarunkowania dotyczące możliwości modelu ujawniania informacji o wartości dodanej i powstrzymania ataku

Często porady i alerty o wartości dodanej będą rozprowadzane w ramach administracji systemów i grup operacyjnych w strukturach organizacyjnych firm opłacających usługę. Jest rzeczą oczywistą, że dostawcy usług ostrzegania o lukach w zabezpieczeniach z wartością dodaną dołożą wszelkich starań, aby zapewnić, że między nimi a ich klientami zawarte są prawnie rygorystyczne umowy o nieujawnianiu informacji, rzadko wystarcza, aby zapobiec przedostaniu się ujawnionych informacji w (strategicznie) „niewłaściwe” ręce . Chociaż istnieje tylko kilka publicznie udokumentowanych przypadków, w których dostawca usług doradczych dotyczących luk w zabezpieczeniach z wartością dodaną opublikował poradę dla płacącego klienta, w wyniku czego osoba poufna w kliencie płacącym wykorzystuje te informacje do lub w celu wzmocnienia działania kontradyktoryjnego, postawmy hipotezę dotyczącą tego, jak omówiono wcześniej Taka sytuacja może mieć wpływ na inhibitory ataków.

UWAGA

Chociaż przeciwnik w tym scenariuszu jest określany jako osoba mająca dostęp do informacji poufnych, jest on osobą niejawną jedynie z punktu widzenia ich możliwości technicznych, a scenariusz nie zakłada żadnych podwyższonych poziomów wstępnego dostępu.

Zakładamy, że przeciwnik wyciągnie (takie jak zdolność przeciwnika do wyliczenia zdolności celu do wykrycia ataku podczas próby) będą zależały od innych danych, do których niekoniecznie mamy dostęp , takie jak dostępne zasoby związane z umiejętnościami.

To powiedziawszy, reprezentuje rodzaj postrzeganego prawdopodobieństwa sukcesu (przy próbie) i postrzeganego prawdopodobieństwa wykrycia (przy próbie), które byłyby typowe dla przeciwnika, który ma dostęp do poufnych danych o podatności dostarczonych przez wartość dodaną informacji o podatności dostawca. Niezależnie od innych zasobów dostępnych dla przeciwnika, jesteśmy w stanie zaobserwować znacznie podwyższone początkowo postrzegane prawdopodobieństwo sukcesu przy próbie ze względu na niskie prawdopodobieństwo, że właściwości celu obejmują wystarczające środki zaradcze, aby złagodzić atak, oraz niskie początkowo postrzegane prawdopodobieństwo wykrycia biorąc pod uwagę próbę ze względu na niskie prawdopodobieństwo, że właściwości celów obejmują zdolność do wykrywania ataku. Oczywiście, nawet w najbardziej skrajnych przypadkach, postrzegane prawdopodobieństwo wykrycia danej próby nigdy nie będzie zerowe, podobnie jak prawdopodobieństwo sukcesu nigdy nie jest skończone ze względu na istnienie inhibitora niepewności. problemy, takie jak możliwość wykrycia ataku za pomocą heurystyk wykrywania włamań lub nawet jeśli opiekunowie celu również subskrybują tę samą usługę powiadamiania o lukach w zabezpieczeniach o wartości dodanej.

Agile Leadership : Skoncentrowane rozmowy

Pisanie książki wymaga skupienia. Trudno o skupienie się. Może to mieć coś wspólnego z tym, dlaczego napisanie tego tekstu zajęło nam tak dużo czasu. Czas na skupienie się i czas na skoncentrowanie się na rozmowie nie będą się po prostu zdarzać. Dla większości z nas życie jest po prostu zbyt zajęte. Skupienie wymaga dyscypliny. Naukowcy z Laboratorium interakcji człowiek-komputer Carnegie Mellon (we współpracy z New York Times) uważają, że mogą mieć wyjaśnienie, dlaczego coraz trudniej jest się skupić. Od jakiegoś czasu wiemy, że wielozadaniowość (co naukowcy czasami nazywają „szybkim przełączaniem między zadaniami”) wiąże się z kosztami. Szybkie przełączanie się to nawyk wielu z nas: praca nad szkicem notatki, czytanie i odpowiadanie na e-maile, sprawdzanie naszych mediów społecznościowych; przeskakiwanie z jednego zadania do drugiego iz powrotem, wszystko w ciągu kilku minut. Ta zmiana ma wpływ na funkcje poznawcze. W ciągu dnia pracy wielu z nas ma tylko 11 minut między każdą przerwą, a powrót do pierwotnego zadania po przerwie zajmuje średnio 25 minut. Wyobraź sobie, że piszesz ważny raport do pracy. Na Twoim komputerze program pocztowy prawdopodobnie działa w tle i prawdopodobnie masz telefon komórkowy w pobliżu. Średnio nie minęło więcej niż 11 minut, zanim na komputerze pojawi się powiadomienie e-mail, telefon poinformuje Cię o najświeższych wiadomościach, SMS-ie, a może po faktycznym połączeniu telefonicznym. Ponadto może zapukać do drzwi Twojego biura lub jeśli zdarzy się, że pracujesz w domu, suszarka może bzyczeć, informując, że możesz włożyć kolejny ładunek (który obecnie jest mokry w pralce). Skorzystaj tylko z jednej z tych przerw, a może minąć 25 minut, zanim w pełni skupisz się na swoim raporcie… przez kolejne 11 minut. Podobnie jak w przypadku głębokich rozmów, skoncentrowane rozmowy nie będą się po prostu odbywać. Musimy celowo odciąć się od potencjalnych czynników rozpraszających, nawet na krótki czas.

Lean Customer Development : Jak powinienem przeprowadzać rozmowy kwalifikacyjne?

Najlepszą metodą przeprowadzania wywiadów rozwojowych jest ta, która jest najwygodniejsza dla Ciebie i Twoich docelowych klientów. Każde podejście ma swoje wady i zalety, ale nie mają one znaczenia, czy koordynacja harmonogramów trwa zbyt długo, czy też odkładasz lub zmieniasz terminy rozmów kwalifikacyjnych. Przedstawię kilka metod i wyjaśnię, dlaczego mogą, ale nie muszą, działać w Twoim przypadku.

Odwiedzenie domu lub biura klienta

Intuit dzwoni do domu lub biura klienta „Follow Me Home”; Badacze użytkowników mogą nazywać to rozmową etnograficzną lub wizytą w terenie. Ta metoda jest o dziesięciolecia wcześniejsza niż ruch początkowy Lean. Obserwowanie klienta w jego naturalnym środowisku jest metodą rozwoju klienta z najwyższą wiernością. Dowiesz się o takich czynnikach, jak poziom hałasu, porządek w otoczeniu, czy Twój klient ma prywatność, czy jest stale zakłócany, czy ma przestarzałą lub zaktualizowaną technologię i kto przychodzi z nim porozmawiać, gdy tam jesteś. Jeśli zadasz pytanie, jak klient coś robi, może ci to pokazać, a nie tylko opisać. Rozmowy twarzą w twarz są bardziej osobiste; widzi Twoją twarz i język ciała, co pomaga w budowaniu relacji z tym potencjałem

Earlyevangelist. Możesz również spotkać się z innymi osobami w gospodarstwie domowym lub w miejscu pracy, aby uzyskać dodatkowe pytania. Wywiady na miejscu są zdecydowanie najtrudniejsze do koordynowania. Obawy dotyczące prywatności mogą uniemożliwić pracownikom sprowadzenie osoby z zewnątrz do biura lub przynajmniej wymagać wcześniejszego podpisania umowy o zachowaniu poufności. W przypadku konsumentów bałagan w domu lub rozproszenie uwagi członków rodziny może zniechęcać klienta do wyrażenia zgody na rozmowę. Konieczność wcześniejszego uzyskania pozwolenia lub zgody może również prowadzić do opóźnień lub anulowania rezerwacji w ostatniej chwili. Wywiady na miejscu sprawdzają się dobrze w przypadku:

  • Firmy posiadające istniejące produkty i klientów
  • Problemy, w których rolę odgrywa środowisko fizyczne
  • Problemy, które dotyczą wielu interesariuszy

• Produkty używane w domu

Ile Google wie o Tobie : Google kontra dostawca usług internetowych

Zagrożenie ujawnieniem informacji przez Internet nie dotyczy tylko Google, a nawet wszystkich firm internetowych; obejmuje również dostawców usług internetowych (ISP) i dostawców szkieletowej sieci internetowej, firmy, które zapewniają komunikację między dostawcami na dalekie odległości. Podstawowa różnica między Google a tymi dostawcami sieci polega na tym, że dostawcy sieci przesyłają informacje z Twojego komputera do docelowych witryn internetowych. Google i inne firmy internetowe zapewniają bezpłatne narzędzia i usługi w miejscu docelowym połączenia. Ich narzędzia i usługi zapewniają impuls do ujawniania poufnych informacji. Ta książka zawiera analizę poszczególnych usług typu informacji które ludzie ujawniają. Każde z tych ujawnień jest narażone na podsłuchiwanie przez dostawcę sieci, chyba że istnieje szyfrowanie między przeglądarką a docelową witryną internetową. Kluczowa różnica między dostawcami sieci a Google to jedna z zalet. Google odnotowuje część aktywności około połowy miliarda użytkowników internetu na świecie. Dostawcy usług internetowych mogą zobaczyć całą niezaszyfrowaną aktywność dzięki stosunkowo mniejszej liczbie abonentów. W Stanach Zjednoczonych największy ISP ma 17,9 miliona abonentów, a 12 ISP ma 1 milion lub więcej abonentów (w żadnym wypadku nie jest to malutki, ale o rząd wielkości mniej niż Google). Dwudziestu trzech dostawców usług internetowych kontroluje 75% rynku w USA. Dostawcy usług internetowych mają jedną bardzo ważną informację, która odróżnia ich od firm internetowych. Przypisują adresy sieciowe swoim klientom i przechowują zapisy między podanym adresem IP a rzeczywistym kontem subskrybenta. Co ważniejsze, dostawcy usług internetowych muszą mieć możliwość wystawiania rachunków za dostęp, więc znają nazwisko, adres (w końcu musieli poprowadzić kabel do każdego domu) i ewentualnie numer karty kredytowej każdego klienta. Firmy internetowe mogą zbierać te informacje za pośrednictwem ujawnień online, ale dostawcy usług internetowych wymagają takich informacji przed świadczeniem usługi. Dostawcy sieci szkieletowych dzielą większość zagrożeń związanych z komunikacją za pośrednictwem dostawców usług internetowych, chociaż istnieją pewne istotne różnice. Dostawcom sieci szkieletowej brakuje szczegółowych zapisów rozliczeniowych użytkowników końcowych, a także mapowań adresów IP do kont użytkowników, które posiadają dostawcy usług internetowych, ale mają wgląd w użytkowników z wielu różnych dostawców usług internetowych. O ile użytkownik nie zastosuje jakiegoś środka zaradczego, takiego jak SSL, dostawca usług internetowych ma wgląd w każdą witrynę internetową, którą jego subskrybenci odwiedzają w sieci, oraz całą jej niezaszyfrowaną komunikację. Jeśli chodzi o stopień widoczności, jaki dany dostawca usług internetowych ma nad swoimi abonentami, staje się on niejasny, ponieważ jego abonenci podróżują lub przenoszą się do nowych obszarów i zatrudniają innego dostawcę usług internetowych. Jednak Google i inne firmy internetowe nie cierpią z powodu tego problemu. Jeśli użytkownik ma zarejestrowane konto lub nie usuwa plików cookie, Google może zidentyfikować użytkownika po przeprowadzce do Seattle lub podczas surfowania z hotelu w Japonii na wakacjach. Należy pamiętać, że niektórzy analitycy branżowi uważają, że Google stara się zostać dostawcą usług internetowych ze względu na nieużywaną sieć światłowodową, znaczący udział w aukcji widma bezprzewodowego FCC oraz pilotażowe programy bezprzewodowe w San Francisco i Mountain View w Kalifornii. Google zaprzecza tym plotkom. Połączone usługi Google / ISP połączyłyby ryzyko obu, znacznie zwiększając zagrożenie. Warto porównać różne motywacje i zasoby firm internetowych i dostawców usług sieciowych. Google i jej konkurenci bardzo dbają o informacje dostarczane przez użytkowników, aby zmaksymalizować przychody z reklam i poprawić doświadczenia użytkowników. W końcu misją Google jest uporządkowanie światowych zasobów informacji i uczynienie ich powszechnie dostępnymi i użytecznymi. Firma Google jest zorganizowana wokół tej misji, w tym światowej klasy wiedzy eksperckiej w zakresie eksploracji danych i zasobów przetwarzania informacji opisanych w rozdziale 1, „Wyszukiwanie w Google”. Z drugiej strony, dostawcy usług internetowych i sieci szkieletowej Internetu są w dużej mierze zaniepokojeni, również ze względu na ich model biznesowy, zapewnieniem dostępu do sieci za opłatą. Innym przydatnym porównaniem między dużymi firmami internetowymi a dostawcami usług sieciowych jest zatrzymywanie danych. Pełne, długoterminowe rejestrowanie aktywności online przez dostawcę usług internetowych lub innego dostawcę sieci nie obsługuje bezpośrednio obecnych modeli biznesowych. Jednak podstawowy model biznesowy Google i jego konkurentów opiera się na dostarczaniu bezpłatnych, wysokiej jakości usług dostosowanych do indywidualnych potrzeb, które są wspierane przez reklamy. W tym przypadku eksploracja i retencja danych są naturalnymi rozszerzeniami tego modelu. W rzeczywistości wystarczy przejrzeć ogłoszenia ofert pracy w Google Labs, aby zwrócić uwagę na nacisk. Lepsze zrozumienie każdego użytkownika wspiera ukierunkowaną reklamę, a tym samym zwiększa skuteczność reklamy i przychody. Rejestrowanie interakcji zamiast całej aktywności online jest znacznie bardziej wydajne i dostępne dzięki obecnym technologiom przechowywania i przetwarzania. Obecnie dostawcy usług sieciowych nie mają takiej samej motywacji i możliwości do przeszukiwania danych dotyczących działań swoich klientów, jak Google. W przyszłości może się to zmienić. W dzisiejszym środowisku większość użytkowników sieci oczekuje, że dostawcy usług sieciowych nie zmienią swojej komunikacji przychodzącej ani wychodzącej. Jednak zwykłe zapewnienie komunikacji sieciowej staje się coraz bardziej konkurencyjne, zmniejszając marże dostawców usług sieciowych. Niektórzy dostawcy eksperymentują ze modyfikowaniem komunikacji przechodzącej przez ich sieci i wstawianiem reklam. Badacz bezpieczeństwa Dan Kaminsky nazywa to działanie efektem Times Square. (Gdy na filmach wyświetlany jest nowojorski Times Square, doskonale oświetlone szyldy reklamowe są często zastępowane znakami innych reklam). Ze względu na potencjalną opłacalność tej praktyki należy być przygotowanym na przyszłe zagrożenia dla integralności komunikacji online. Niezależnie od tego, czy postrzegasz dostawcę sieci lub firmę internetową jako potencjalne zagrożenie (lub jedno i drugie), pamiętaj, że informacje, które ujawniasz celowo i nieumyślnie, stwarza ryzyko. Jeśli wyobrażasz sobie połączenie dostępu swojego dostawcy usług sieciowych i firm internetowych, powinieneś zobaczyć, że ujawniasz większość swoich interakcji online ze stroną trzecią. Efektem końcowym jest mrożąca krew w żyłach kombinacja.

Zaufanie w Cyberspace : Uzyskaj zaufanie

Zaufanie dostępu to zaufanie, które strona umieszcza w drugiej stronie, gdy druga strona uzyskuje dostęp do usług i zasobów zapewnianych przez pierwszą stronę. Kontrola dostępu i zasady dostępu były tradycyjnie wykorzystywane do realizacji tego zaufania. Jednak w scenariuszu przetwarzania w chmurze utrzymanie zaufania do dostępu staje się znacznie trudniejsze ze względu na obecność wielu stron, z których każda ma odmienne cele. Song demonstruje ten problem. W artykule omówiono relacje między stronami zaangażowanymi w aplikację chmurową. Stronami tymi są dostawca oprogramowania, dostawca danych, koordynator i dostawca zasobów. Oprogramowanie i dostawca danych przesyłają swoje oprogramowanie lub dane do zasobów udostępnionych przez dostawcę zasobów. Koordynator ułatwia wykrywanie usług, a dostawca zasobów zapewnia platformę do wykonywania oprogramowania na danych. Problem zaufania w architekturze pojawia się, gdy dostawca danych używa oprogramowania od dostawcy oprogramowania lub osoba trzecia chce korzystać z oprogramowania i danych. W takich przypadkach musi istnieć gwarancja, że ​​używane oprogramowanie nie jest złośliwe i robi tylko to, co mówi (tj. W przypadku prywatnego zbioru danych oprogramowanie nie tworzy kopii danych znajdujących się za sceną). Problem z zaufaniem pojawia się również, gdy oprogramowanie jest dostarczane dostawcom danych, że nie tworzą oni nieautoryzowanych kopii oprogramowania. W artykule zaproponowano rozwiązanie oparte na logowaniu i izolacji. Dane od dostawcy danych i aplikacje, które mogą pracować na tych danych od dostawcy oprogramowania, są zaszyfrowane, a dostęp do kluczy uruchamia mechanizm logowania. Koordynator wykorzystuje mechanizm wykrywania usług do znajdowania odpowiedniego oprogramowania dla zbioru danych i odwrotnie. Dostawca zasobów zapewnia izolowane środowisko do działania aplikacji. Dostawca oprogramowania i dostawca danych nie znają swojej tożsamości i wiedzą tylko, że wykonanie jest wykonywane za pomocą identyfikatora odniesienia wykonania. Ten model, chociaż pomaga w rozliczalności i anonimowym wykonaniu, nie daje żadnej gwarancji, że oprogramowanie nie utworzy kopii danych. Jednak aby mieć pewność, że kopia oprogramowania będzie używana tylko w odniesieniu do zbioru danych, dla którego została przeznaczona i nie będzie kopiowana bez upoważnienia, autorzy proponują powiązanie zaufania oprogramowania i danych. Odbywa się to przez dostawcę zasobów przy użyciu modułu zaufanej platformy (TPM). Ponieważ dane są zaszyfrowane za pomocą klucza, każde konkretne wystąpienie oprogramowania jest modyfikowane tak, aby działało tylko z określonym kluczem. W związku z tym każda instancja będzie musiała zostać zmodyfikowana pod kątem nowego zestawu danych, a nieautoryzowana modyfikacja nie byłaby dozwolona przez moduł TPM. Sundareswaran proponuje zdecentralizowane ramy odpowiedzialności za informacje, aby śledzić faktyczne wykorzystanie danych użytkowników w chmurze. W artykule przedstawiono sposób traktowania zaufania dostępu do chmur, wykorzystując programowalne możliwości plików Java JAR w celu dołączenia mechanizmów rejestrowania do danych i zasad użytkowników. Aby poprawić kontrolę użytkownika nad danymi, zapewniają mechanizmy kontroli rozproszonej. W scenariuszu przetwarzania w chmurze, ponieważ dane przechodzą przez zasoby (sprzęt i oprogramowanie) należące do różnych podmiotów, konwencjonalne przetwarzanie danych nie może zagwarantować odpowiedzialności i prywatności danych. Autorzy proponują odpowiedzialność za informacje w chmurze (CIA), aby rozwiązać te problemy. CIA ma dwa główne komponenty, rejestrator i harmonizator dziennika. Główne zadania rejestratora obejmują automatyczne rejestrowanie dostępu do zawartych w nim elementów danych, szyfrowanie zapisów dziennika i okresowe wysyłanie ich do harmonizatora dziennika. Za audyt odpowiedzialny jest harmonizator dziennika. Architektura ma dwa pliki JAR; zewnętrzny JAR i wewnętrzny JAR. Zewnętrzny plik JAR zawiera zasady dostępu, a wewnętrzny plik JAR zawiera zaszyfrowane rzeczywiste dane w kilku plikach JAR. Zasady dostępu określają dostęp do wewnętrznych plików JAR za pomocą metod takich jak czas dostępu i dostęp oparty na lokalizacji. Mechanizm ten może przetrwać różne ataki, takie jak atak kopiujący, w którym osoba atakująca kopiuje pliki JAR, atak polegający na dezasemblacji, podczas którego plik JAR ma zostać zdemontowany, atak typu man in the middle oraz atak na skompromitowaną wirtualną maszynę Java (JVM). Przyjrzyj się odpowiedzialności w chmurze z innej perspektywy. W artykule omówiono kluczowe kwestie i wyzwania związane z uzyskaniem zaufanej chmury przy użyciu mechanizmów kontroli detektywistycznej oraz przedstawiono strukturę TrustCloud do radzenia sobie z zaufaniem do dostępu. W artykule omówiono wyzwania związane z wirtualizacją, rejestrowaniem z perspektywy systemów operacyjnych w porównaniu z rejestrowaniem z perspektywy systemów skoncentrowanych na plikach, skalą, zakresem i wielkością rejestrowania oraz pochodzeniem danych. Ich struktura TrustCloud ma różne warstwy abstrakcji; warstwa systemu, która zajmuje się systemami operacyjnymi, systemami plików i wewnętrzną siecią chmury; warstwa danych, która wspiera abstrakcję danych i ułatwia centralne rejestrowanie danych poprzez rejestrator pochodzenia i rejestrator spójności; warstwa przepływu pracy, która koncentruje się na ścieżkach audytu i danych związanych z audytem znajdujących się w usłudze oprogramowania w chmurze. W ramach istnieje warstwa polityki, prawa i regulacji, która obejmuje wszystkie trzy warstwy. Sposób przechowywania danych, kto uzyskuje do nich dostęp, gdzie dane są przechowywane, jest objęty tymi zasadami. Podsumowując, niniejszy artykuł dobrze poradził sobie ze wszystkimi kwestiami, które dotychczas nie były poruszane w literaturze dotyczącej chmury obliczeniowej

Ciemna Strona Neta : Dyktatorzy i ich dylematy

Chociaż staje się jasne, że niewiele autorytarnych reżimów jest zainteresowanych całkowitym zamknięciem wszelkiej komunikacji, choćby dlatego, że chcą być na bieżąco z pojawiającymi się zagrożeniami, cenzura przynajmniej niektórych treści jest nieunikniona. Przez ostatnie trzy dekady konwencjonalna mądrość sugerowała, że ​​potrzeba cenzury postawiła autorytarne reżimy w kąt: albo cenzurowali, a tym samym ponieśli konsekwencje gospodarcze, ponieważ cenzura jest nie do pogodzenia z globalizacją, albo nie cenzurowali i tym samym ryzykowali rewolucję. Hillary Clinton powiedziała to samo w swoim przemówieniu dotyczącym wolności w Internecie: „Kraje, które cenzurują wiadomości i informacje, muszą uznać, że z ekonomicznego punktu widzenia nie ma różnicy między cenzurowaniem wypowiedzi politycznych i komercyjnych. Jeśli firmom w waszych krajach odmawia się dostępu do któregokolwiek rodzaju informacji, będzie to nieuchronnie wpływać na wzrost ”. Donosząc o roli technologii w napędzaniu irańskiej rewolucji na Twitterze, New York Times wyraził podobną opinię: „Ponieważ technologie cyfrowe są dziś tak krytyczne dla współczesnych gospodarek, represyjne rządy zapłaciłyby wysoką cenę za ich całkowite odcięcie się od nich. możliwy.” Ten binarny pogląd – że dyktatorzy nie mogą globalizować się, dopóki nie otworzą swoich sieci dla hord międzynarodowych konsultantów i bankierów inwestycyjnych przeszukujących ich ziemie w poszukiwaniu kolejnego celu przejęcia – stał się znany jako „dylemat dyktatora” i znalazł wielu zwolenników wśród decydentów, zwłaszcza gdy te ostatnie omawiają dobroczynną rolę Internetu. Jednak istnienie bezpośredniego związku między wzrostem gospodarczym a współczesną cenzurą Internetu nie jest oczywiste. Czy może to być kolejne słabo zbadane i raczej szkodliwe założenie wynikające z zimnej wojny? W 1985 r. George Schultz, ówczesny sekretarz stanu USA, był jednym z pierwszych, którzy wyrazili powszechny pogląd, mówiąc, że „społeczeństwa totalitarne stoją przed dylematem: albo próbują zdusić te technologie, a tym samym pozostają w tyle w nowej rewolucji przemysłowej albo też zezwalają na te technologie i widzą nieuchronną erozję ich totalitarnej kontroli ”. A te rządy były skazane, według Schultza: „Nie mają wyboru, ponieważ nigdy nie będą w stanie całkowicie zablokować fali postępu technologicznego”. Pogląd Schultza, wyrażony w głośnym artykule w „Foreign Affairs”, zyskał wielu zwolenników. Artykuł redakcyjny z 1989 r. W Nowej Republice, zaledwie tydzień po tym, jak chiński rząd usunął protestujących z placu Tiananmen, argumentował, że wybór, przed którym stanęli dyktatorzy, polegał albo na tym, by „pozwolić ludziom myśleć samodzielnie i mówić, co myślą. . . —Lub poczuj swoją zgniliznę ekonomiczną. ” To była muzyka dla uszu wielu wschodnich Europejczyków w tamtych czasach, a następujący po tym upadek systemu radzieckiego zdawał się potwierdzać determinizm Nowej Republiki. W rzeczywistości takie prognozy były intelektualnym wytworem optymizmu tamtej epoki. Każdy, kto podążał za duchem czasu późnych lat osiemdziesiątych i wczesnych dziewięćdziesiątych, nie mógł przeoczyć połączenia między dwiema popularnymi w tamtym czasie teoriami, jedną dotyczącą technologii i jedną dotyczącą polityki, które w dość tajemniczy sposób nosiły praktycznie tę samą nazwę. Jedna z teorii, rozwinięta przez futurystę Alvina Tofflera, zakładała, że ​​gwałtowne zmiany technologiczne tamtego okresu doprowadzą do powstania „społeczeństwa trzeciej fali”, naznaczonego zdemokratyzowanym dostępem do wiedzy i początkiem ery informacji. Dla Tofflera technologia informacyjna nastąpiła po dwóch innych rewolucyjnych falach, rolnictwie i industrializacji, rozpoczynając zupełnie nowy okres w historii ludzkości. Druga teoria, opracowana przez politologa z Harvardu Samuela Huntingtona, zakładała, że ​​okres naznaczony był pojawieniem się „trzeciej fali” światowej demokratyzacji, w której coraz więcej krajów wybiera demokratyczne formy rządów. (Była „trzecia”, ponieważ według Huntingtona następowała po pierwszej fali, która trwała od początku XIX wieku do powstania faszyzmu we Włoszech, oraz drugiej, która trwała od zakończenia drugiej wojny światowej do połowy -1960s.) Byłoby zbyt kuszące, aby nie widzieć tych dwóch trzecich fal jako zbieżnych w którymś momencie najnowszej historii, a rok 1989 wyglądał na najlepszego kandydata. Takie poglądy często wskazywały na istnienie silnej przyczynowości między marszem demokracji na całym świecie a początkiem rewolucji informacyjnej, związku, który często był wywnioskowany, ale rzadko wykazywany. „Dylemat dyktatora” stał się użytecznym pseudonimem, sposobem na uchwycenie nieuchronności autorytarnego upadku w obliczu faksów, kserokopiarek i tak dalej. Idąc śladem George’a Schultza, w latach 1990-2010 wielu wysokich rangą urzędników rządowych USA, w tym James Baker, Madeleine Albright i Robert Gates, mówiło o „dylemacie dyktatora”, jakby to był zdrowy rozsądek. Jednak to zdeklarowany ekonomista Uniwersytetu Columbia, Jagdish Bhagwati, który najbardziej wymownie uchwycił istotę „dylematu dyktatora”: „Komputer osobisty jest niekompatybilny z CP. [Partii komunistycznej].” Jako niezależny intelektualista Bhagwati może oczywiście wierzyć we wszystko, co chce, bez zwracania uwagi na rozwój sytuacji w prawdziwym świecie, ale przywódcy polityczni nie mają tego luksusu, choćby dlatego, że stawką jest skuteczność przyszłej polityki. . Niebezpieczeństwo ulegania logice „dylematu dyktatora”, a także innym podobnym przekonaniom o nieuchronnym triumfie kapitalizmu lub końcu historii polega na tym, że nasyca przywódców politycznych niebezpiecznym poczuciem historycznej nieuchronności i zachęca do tworzenie polityki. Jeśli państwa autorytarne stoją przed tak poważnym, a nawet śmiertelnym dylematem, po co ryzykować przechylenie szali bezmyślnymi interwencjami? Taki nieuzasadniony optymizm nieuchronnie prowadzi do bezczynności i paraliżu. Thomas Friedman, publicysta New York Times ds. Zagranicznych, w typowy dla siebie sposób, trywializował – i zrobił wiele, by spopularyzować – błąd „dylematu dyktatora”, wymyślając nowe modne hasło: „Zespół niedoboru odporności mikroczipa” (MIDS). MIDS jest „chorobą, która może dotknąć każdy nadęty, otyły, sklerotyczny system w erze postzimnowojennej. Umowa z MIDS jest zwykle zawierana przez kraje i firmy, które nie potrafią się zaszczepić przed zmianami wprowadzanymi przez mikroczip i demokratyzacją technologii, finansów i informacji ”. Dzięki internetowi autorytarne rządy są skazane na zagładę: „W ciągu kilku lat każdy obywatel świata będzie mógł porównywać swoje własne. . . rząd i ten obok ”. (Jednak z jakiegoś powodu Amerykanie, przy całym swoim nieskrępowanym dostępie do Internetu, nie chwalą rad Friedmana, nie robiąc wielu rządów na własną rękę i widzą, że inne rządy mają znacznie bardziej rozsądne podejście, na przykład do więzienia ich obywateli). Nicholas Kristof, bardziej trzeźwy kolega Friedmana z New York Timesa, również jest głęboko przekonany o nieuchronności informowania autorytarny upadek, pisząc, że „dając Chińczykom dostęp szerokopasmowy”, chińscy przywódcy „kopią komunistycznej Partii grób”. Dlatego nadal często zakłada się, że Internet ostatecznie rozerwie autorytaryzm na strzępy, zadając mu tysiące śmiercionośnych ciosów informacyjnych. Twardzi liderzy nie mogą przetrwać bez technologii informacyjnej, ale rozpadną się, nawet jeśli ją wpuszczą, ponieważ ich obywatele desperacko szukający Disneylandu, Big Maców i MTV wybiegną na ulice, domagając się uczciwych wyborów. Problem z tym poglądem polega na tym, że jeśli chodzi o ocenę dowodów empirycznych i rozważenie przypadku Internetu, trudno wyobrazić sobie państwo, które w rzeczywistości nie przetrwało wyzwań stawianych przez dylemat. Z wyjątkiem Korei Północnej, wszystkie państwa autorytarne zaakceptowały Internet, a Chiny mają więcej użytkowników Internetu niż ludzi w Stanach Zjednoczonych. Tam, gdzie eksperci i decydenci zawiedli, jest zrozumienie wyrafinowania i elastyczności aparatu cenzurującego zbudowanego w oparciu o Internet. Jednym z kluczowych założeń stojących za „dylematem dyktatora” było to, że niemożliwe byłoby zaprojektowanie precyzyjnych mechanizmów cenzury, które mogłyby blokować otwarcie polityczną aktywność w Internecie, a jednocześnie zezwalać na jakąkolwiek działalność internetową – być może nawet ją przyspieszać – która pomogłaby w pobudzeniu wzrostu gospodarczego. To założenie okazało się fałszywe: rządy opanowały sztukę filtrowania opartego na słowach kluczowych, uzyskując w ten sposób możliwość blokowania witryn internetowych na podstawie adresów URL, a nawet tekstu ich stron. Następnym logicznym etapem byłoby opracowanie przez rządy sposobów ograniczania dostępu do treści w oparciu o konkretne dane demograficzne i określone zachowania użytkowników, ustalenie, kto dokładnie próbuje uzyskać dostęp do czego, z jakiego możliwego powodu, do czego jeszcze uzyskali dostęp w poprzednich dwóch tygodni i tak dalej przed podjęciem decyzji o zablokowaniu lub zezwoleniu na dostęp do danej strony. W niedalekiej przyszłości bankier przeglądający tylko Reutera i Financial Times oraz inni bankierzy jako jej internetowi przyjaciele zostaliby sami i mogliby robić, co tylko zechce, nawet przeglądać strony Wikipedii o łamaniu praw człowieka. Z drugiej strony osoba o nieznanym zawodzie, która od czasu do czasu czyta Financial Times, ale jest również połączona z pięcioma znanymi działaczami politycznymi za pośrednictwem Facebooka i która pisze komentarze na blogu zawierające takie słowa jak „demokracja” i „wolność”, byłaby ma prawo odwiedzać strony internetowe prowadzone przez rząd (lub, jeśli jest ważnym celem wywiadowczym, będzie mogła odwiedzać inne witryny, a jej działania online będą ściśle monitorowane).

Audyt Umysłu Hackera : Model ujawniania informacji o „wartości dodanej” firmy zabezpieczającej

Rosnąca liczba firm zajmujących się bezpieczeństwem informacji, już dobrze znanych ze swoich porad dotyczących ujawniania informacji do domeny publicznej, zaczęło oferować „wartość dodaną” ostrzegania o lukach w zabezpieczeniach i usługi doradcze. opłacone przez dostawcę takich usług, a ujawnienie luki w zabezpieczeniach następuje w formie ostrzeżenia lub pełnego doradztwa dla zamkniętej grupy „klientów” prywatnych i / lub publicznych, którzy uiszczają opłatę za usługę w oparciu o abonament. Czas, w którym dany sprzedawca lub usługodawca zostanie powiadomiony o problemie, będzie różny, w zależności od polityki dostawcy usług doradczych. Jednak często ma to miejsce po wysłaniu wstępnego ostrzeżenia do płacących klientów.

Niektóre firmy zajmujące się bezpieczeństwem będą również korzystać z takich usług alarmowych, aby zwiększyć sprzedaż profesjonalnych usług dla klientów, którzy są zaniepokojeni ujawnioną luką i chcą zmniejszyć ryzyko jej wykorzystania. Normą jest, że po ujawnieniu informacji klientom płacącym – i warunkowo sprzedawcy – luka zostanie ujawniona pozostałej części społeczności zajmującej się bezpieczeństwem, a ostatecznie ogółowi społeczeństwa. Ponownie, charakter ujawniania informacji klientom płacącym i społeczności zajmującej się bezpieczeństwem będzie różny w zależności od polityki firmy ochroniarskiej dostarczającej serwery; wydaje się jednak, że większość przyjmuje model pełnego ujawnienia. Chociaż w dalszej części tego rozdziału zajmiemy się semantyką kwestii przedpublicznego ujawnienia, model ujawniania wartości dodanej stwarza możliwość zaistnienia kilku scenariuszy – unikalnych dla tego modelu ujawniania. Ryzyko wrogich insiderów w dużych organizacjach jest bardzo realne. Jednym z możliwych scenariuszy spowodowanych przez model ujawniania wartości dodanej jest brak kontroli dostawcy usługi wartości dodanej nad ujawnionym poradnikiem (i często wykorzystującym kod) po ujawnieniu luki u jego płatnej bazy klientów.