Ciemna Strona Neta : Jak NASDAQ uratuje świat

Jakkolwiek by się to nie nazywało, ta wiara w demokratyzującą siłę sieci rujnuje zdolność opinii publicznej do oceny przyszłej i istniejącej polityki, nie tylko dlatego, że wyolbrzymia pozytywną rolę, jaką korporacje odgrywają w demokratyzacji świata, nie poddając ich kontroli, na którą tak słusznie zasługują. . Taka cyber-utopijna skłonność do dostrzegania tylko jasnej strony była w pełni widoczna na początku 2010 r., Gdy Google ogłosił, że wycofuje się z Chin, mając dość rosnących żądań cenzury chińskiego rządu i tajemniczych cyberataków na jego własność intelektualną. Ale to, co powinno być traktowane jako czysto racjonalna decyzja biznesowa, było chwalone jako odważne posunięcie w celu wspierania „praw człowieka”; że Google nie miał nic przeciwko działaniu w Chinach przez ponad cztery lata przed wycofaniem, zostało utracone przez większość komentatorów. W piśmie „Newsweek” Jacob Weisberg, wybitny amerykański dziennikarz i wydawca, nazwał decyzję Google „heroiczną”, a senator John Kerry powiedział, że „Google odważnie podejmuje realne ryzyko, broniąc zasad”. Guru internetu Clay Shirky ogłosił, że „to, co [Google] eksportuje, nie jest produktem ani usługą, to wolność”. Artykuł redakcyjny w Nowej Republice argumentował, że Google, „organizacja pełna amerykańskich naukowców”, posłuchała rady Andrieja Sacharowa, słynnego rosyjskiego dysydenta, który błagał swoich kolegów radzieckich naukowców, aby „zgromadzili wystarczającą odwagę i uczciwość, aby oprzeć się pokusa i nawyk konformizmu ”. Sacharow oczywiście nie sprzedawał reklam wielkości fragmentów ani nie był po imieniu z Agencją Bezpieczeństwa Narodowego, ale Nowa Republika wolała ukrywać takie niespójności. Nawet słynny dziennikarz Bob Woodward wpadł pod wpływ cyberutopizmu. Pojawienie się w Meet the Press, jednym z najpopularniejszych niedzielnych programów telewizyjnych w Ameryce, w maju 2010 roku Woodward zasugerował, że inżynierowie Google – „niektórzy z tych ludzi, którzy mają te wspaniałe umysły” – powinni zostać wezwani do naprawienia wycieku oleju w Zatoka Meksykańska. A gdyby Google mógł naprawić wyciek ropy, czy nie mogliby naprawić również Iranu? Wygląda na to, że dzieli nas tylko kilka komentarzy od Toma Friedmana, który ogłosi, że Google, ze wszystkimi ich wspaniałymi skanerami i bazami danych, powinien przejąć Departament Bezpieczeństwa Wewnętrznego. Oczywiście Google nie jest jedynym przedmiotem niemal powszechnego podziwu. Nagłówek w Washington Post głosi: „W Egipcie, Twitter Trumps Torture”, podczas gdy artykuł wstępny w Financial Times chwali portale społecznościowe, takie jak Facebook, jako „wyzwanie dla niedemokratycznych społeczeństw”, podsumowując, że „następna wielka rewolucja może rozpocząć się od Facebooka wiadomość.” (To, czy Facebook stanowi również wyzwanie dla społeczeństw demokratycznych, to temat, którego artykuł redakcyjny nie poruszył). Jared Cohen, dwudziestosiedmioletni członek zespołu planowania polityki Departamentu Stanu, który wysłał niesławną prośbę e-mail do Twittera podczas irańskie protesty chwalą Facebooka jako „jedno z najbardziej organicznych narzędzi promocji demokracji, jakie świat kiedykolwiek widział”. Jednym z problemów, który wynika z tak entuzjastycznej akceptacji pozytywnej roli firm internetowych w walce z autorytaryzmem, jest to, że łączy je wszystkie razem, zacierając różnice w ich poziomie zaangażowania w obronę praw człowieka, nie mówiąc już o promowaniu demokracji. Twitter, firma, która cieszyła się szerokim uznaniem opinii publicznej podczas wydarzeń w Iranie, odmówiła przyłączenia się do Global Network Initiative (GNI), obejmującej całą branżę zobowiązania innych firm technologicznych, w tym Google, Yahoo i Microsoft, do zachowywania się zgodnie z prawa i standardy obejmujące prawo do wolności słowa i prywatności zawarte w uznanych na całym świecie dokumentach, takich jak Powszechna Deklaracja Praw Człowieka. Facebook, kolejny bardzo podziwiany eksporter rewolucji cyfrowych, również odmówił przyłączenia się do DNB, powołując się na brak zasobów, dziwaczną wymówkę dla firmy, której przychody w 2009 roku wyniosły 800 milionów dolarów. Odmowa przyłączenia się do DNB przez Twittera i Facebooka wzbudziła gniew kilku amerykańskich senatorów, ale w ogóle nie odbiła się na ich publicznym wizerunku. Ich kierownictwo ma rację, żeby się nie martwić. W końcu są przyjaciółmi Departamentu Stanu USA; są zapraszani na prywatne kolacje z sekretarzem stanu i oprowadzani po egzotycznych miejscach, takich jak Irak, Meksyk i Rosja, aby poprawić wizerunek Ameryki na świecie. Podczas takich wizyt widać coś więcej niż tylko zaawansowaną technicznie amerykańską dyplomację. Ujawniają również, że amerykańska firma nie musi podejmować wielu etycznych zobowiązań, aby zaprzyjaźnić się z rządem USA, przynajmniej o ile ma to kluczowe znaczenie dla programu polityki zagranicznej Waszyngtonu. Po ośmiu latach administracji Busha, zdominowanej przez niezwykle tajne partnerstwa publiczno-prywatne, takie jak Grupa Zadaniowa ds. Energii Dicka Cheneya, takie zachowanie nie jest dobrym planem dla dyplomacji publicznej. Google, pomimo swojego członkostwa w DNB, ma również wiele do wyjaśnienia, począwszy od coraz bardziej beztroskiego podejścia do prywatności – co nie jest powodem do świętowania przez dysydentów na całym świecie – po skłonność do obnoszenia się z własnymi relacjami z rządem USA. Jego szeroko nagłośniona współpraca z Agencją Bezpieczeństwa Narodowego w zakresie cyberataków na jej serwery na początku 2010 roku nie była skutecznym sposobem na przekonanie władz Iranu o niepolitycznym charakterze działań internetowych. W Google, Twitterze i Facebooku można podziwiać wiele, ale ponieważ zaczynają odgrywać coraz ważniejszą rolę w mediacji w polityce zagranicznej, „podziw” nie jest szczególnie pomocną postawą dla żadnego decydenta

Audyt Umysłu Hackera : Cyber-terrorysta: modne hasło w mediach?

Termin cyberterrorysta mieści się pod tym samym parasolem medialnym, co black hat, a nawet nadużywany jak pojęcie haker. Idea, że ​​tak zwany cyberterrorysta może zagrozić bezpieczeństwu systemu komputerowego i spowodować rzeczywiste obrażenia ciała w bezpośrednim wyniku złamania systemu, nawet w dzisiejszym świecie, jest nieco naciągana, ponieważ wiele włamań prowadziło jedynie do uszkodzenia witryn lub tymczasowego wyłączenia serwerów. Ale nawet takie zepsucie rządowych witryn internetowych jest częstsze, niż wielu ludziom się wydaje. Jednak bardziej prawdopodobne stało się, że grupa terrorystyczna mogłaby poszukiwać umiejętności hakera, aby wzmocnić bardziej konwencjonalny akt terroryzmu.

Poniższa relacja jest luźno oparta na takim zdarzeniu, w którym do nastoletniego mężczyzny zwróciła się osoba, o której wiadomo, że była powiązana ze wschodnią grupą terrorystyczną. W czerwcu 1999 r. haker z Alaski imieniem Ryola (aka „ne0h”) rozmawiał na swoim ulubionym kanale Internet Relay Chat, tak jak co drugą noc, chwaląc się swoimi najnowszymi zhackowanymi systemami  i porównując prędkości ich połączeń z innymi hakerami na kanale. Postanowiwszy zadzwonić na noc, po raz ostatni poszedł sprawdzić pocztę i zauważył wiadomość od osoby, która twierdziła, że ​​pochodzi z grupy wschodnich „bojowników o wolność”, której dane kontaktowe Ryoli przekazał niezidentyfikowany przyjaciel. W e-mailu osoba, która przedstawiła się jako Kahn, szczegółowo opisała „projekt”, w który był zaangażowany, a który wymagał schematów trzech konkretnych modeli samolotów. Oferta skierowana do Ryoli polegała na jednorazowej wpłacie w wysokości 5000 USD w zamian za schematy modeli samolotów wymienione w wiadomości e-mail. W tym czasie Ryola pracował u lokalnego sprzedawcy komputerów, naprawiając i budując domowe i biznesowe systemy komputerowe, ale potrzebował dodatkowych pieniędzy na sfinansowanie podróży do Las Vegas, którą planował na następny miesiąc. Po krótkiej rozmowie telefonicznej między Ryolą i Kahnem, wykonanej w lokalnej budce telefonicznej, której Ryola używał do ochrony swojej tożsamości, szczegóły zadania zostały potwierdzone. Kilka dni później, po zakończeniu wstępnych skanów sieci i ustaleniu , Ryola wykonał swój ruch i włamał się do wielu systemów w jednej z wielu sieci projektanta samolotu, najbardziej prawdopodobnym miejscu znalezienia schematów, o które go poproszono. Następnie wykorzystał ten dostęp do wykorzystania dalszych ataków na wewnętrzne sieci Windows, których inżynierowie projektanci używali do przechowywania schematów i innych poufnych dokumentów. Chociaż można się spierać, czy Ryola „miał szczęście”, wykonał zlecone zadanie w ciągu kilku dni schematy trzech z żądanych typów samolotów były w rękach Kahna. Kilka miesięcy później samolot odpowiadający typowi udokumentowanemu w schematach, które ukradł Ryola, został uprowadzony nad Arabią Saudyjską przez tę samą grupę, którą Kahn przedstawił Ryoli. Minął rok, a Ryola nie dostał zapłaty za zadanie, które podjął dla Kahna, o którym Ryola wiedział, że jest terrorystą. Pomimo kilku nieudanych prób skontaktowania się z Kahnem i zażądania pieniędzy, które myślał, że zarobił, pozostał niespłacony. Dopiero w lutym 2001 roku Ryola ponownie usłyszała od Kahna. W e-mailu z nowego adresu Kahn przeprosił za to, że nie zapłacił Ryoli, twierdząc, że ukrywał się w wyniku śledztwa przeprowadzonego w celu odnalezienia sprawców porwań z poprzedniego roku. Obiecał mu ponad pięć razy więcej niż wcześniej w zamian za wyszukiwanie schematów czterech innych typów samolotów. W tym czasie Ryola znalazł lepszą pracę i pozostawił w ustach gorzki posmak z poprzednich kontaktów z Kahnem, więc z wdziękiem odrzucił ofertę. Nie było więcej komunikacji e-mailowej między nimi, a dla Ryoli jego kontakty z tą osobą dobiegły końca. Kilka miesięcy później tego samego roku Ryola  do 5:00 rano, rozmawiał z niektórymi ze swoich internetowych przyjaciół o ich planach narażenia bezpieczeństwa dostawcy usług internetowych z RPA. Następnego dnia obudził się około drugiej po południu i włączył telewizor. Był wtorek, 11 września 2001 r., A przed jego oczami pojawiły się doniesienia o czterech samolotach wykorzystywanych do aktów terroryzmu, rzekomo przez siostrzaną organizację „bojowników o wolność”, dla której wcześniej pracował, używając samolotów pasujących do opisów w e-mail od Kahna jakieś siedem miesięcy wcześniej.

Chociaż powiązania między częściami tej fikcyjnej historii opartej na prawdziwych wydarzeniach a tragicznymi wydarzeniami z 11 września są nieco niejasne, porwanie w 1999 roku było bardzo realne, podobnie jak dowody łączące wykradzione schematy samolotu i grupę, która przeprowadziła porwanie. Kiedy myślimy o charakterystyce przeciwnika, ważne jest, abyśmy mieli szerszy obraz. Po pierwsze, zaczynamy ograniczać się do bezpieczeństwa naszych organizacji i determinacji naszego wroga, po drugie stajemy się bezbronni. W tym przypadku ujawnienie danych w słabo chronionej sieci komputerowej samo w sobie nie doprowadziło do sytuacji, w której nastąpiło przejęcie kontroli – spowodowało to jedynie wejście sprawców porywacza na pokład samolotu i przejęcie nad nim kontroli. Jednak schematyczne dane prawie na pewno pomogłyby im w zaplanowaniu fazy wykonania porwania, zwiększając ich szanse powodzenia i zmniejszając ich szanse na udaremnienie ich intrygi podczas wykonywania. Wykonując charakterystykę, zwłaszcza gdy obejmuje ona scharakteryzowanie zagrożeń dla aktywów w organizacji i próbę ustalenia, które informacje byłyby najbardziej wartościowe dla przeciwnika, ważne jest, abyśmy pamiętali takie rzeczy, jak system przechowujący schematy samolotów. Jasne, nie jest to serwer bazy danych przechowujący tysiące numerów kart kredytowych lub danych uwierzytelniających. Jednak różne aktywa mają różne wartości dla różnych przeciwników. Kluczem jest wiedza, którzy przeciwnicy cenią które aktywa i w jaki sposób ci przeciwnicy najprawdopodobniej zaatakują te aktywa. Uprowadzenie samolotu jest doskonałym przykładem danych, które miały dużą wartość dla przeciwnika że  naraził na szwank aktywa o bardzo wysokiej wartości, wspomagane przez skradzione dane, które zostały wyraźnie scharakteryzowane jako mające niską wartość, niskie ryzyko, a zatem słabo chronione.

Zaufanie w Cyberspace : Zamknięty model bezpieczeństwa

W zamkniętej sieci zaangażowana jest ograniczona liczba stron, a często może istnieć administrator sieci centralnej, któremu można nadać wystarczające uprawnienia do administrowania przez sieć na różnych zasadach. W takiej sytuacji możliwe jest narzucenie surowych przepisów dotyczących tego, kto może uczestniczyć, kto nie może, metod uwierzytelniania, mechanizmów i protokołów komunikacji, ważności węzła uczestniczącego i tak dalej. Dlatego zamknięty model bezpieczeństwa jest lokalnie stosowany dla konkretnej, małej części sieci i jest bardziej zarezerwowany pod względem zasad niż w przypadku sieci otwartej. Na przykład na rysunku każda sieć PSTN może być zarządzana za pomocą własnego zestawu reguł bezpieczeństwa. Pytanie brzmi, gdzie odgrywa się tu kwestia zaufania? Odpowiedź, jak rozumiemy, powinna być określona przez organ decyzyjny

TOR : Poprawne działanie TOR

Poniższe wskazówki opisują to co sprawi, że Twoje doświadczenie z TOR będzie najbardziej satysfakcjonujące:

* Zainstaluj przeglądarkę TOR. Pobieranie przeglądarki TOR w systemie Windows jest dość proste. Wystarczy otworzyć oficjalną stronę pobierania przeglądarki TOR, znaleźć najnowszą wersję i postępować zgodnie z instrukcjami, aby zakończyć instalację. W innym systemie operacyjnym musisz postępować zgodnie z określonymi instrukcjami w zależności od systemu. W tym samym załączniku zamieszczę odniesienia do najczęstszych przypadków.

* Nie używaj torrentów z TOR. Sieć TOR nie jest przeznaczona do korzystania z połączeń peer-to-peer do udostępniania plików. W związku z tym będziesz źle korzystać z usługi i spowalniając przy tym połączenie wszystkich innych osób w sieci. Ponadto BitTorrent ujawnia Twój adres IP; w związku z tym ujawnisz swój identyfikator używając P2P, czyniąc TOR bezwartościowym.

* Nie zezwalaj na wtyczki przeglądarki. Czy osobiście tworzyłeś wtyczki? Najprawdopodobniej nie. Dlatego NIE wiesz, czy narzędzie programowe zbiera informacje o Twoim identyfikatorze podczas normalnego użytkowania. Dlatego zezwolenie na swobodne działanie dowolnego z takich programów stanowi ryzyko dla Twojej anonimowości.

* Użyj protokołu HTTPS. Węzeł opuszczający sieć TOR to najbardziej narażone punkty na Twoją anonimowość. TOR szyfruje informacje w swojej sieci i kamufluje źródło Twojej aktywności. Jednak aktywność poza siecią jest ujawniona. Co możesz z tym zrobić? Konsekwentnie używaj kompleksowego szyfrowania, takiego jak SSL lub TLS. Możliwość korzystania z HTTPS przez cały czas zapewnia po prostu przełączenie dodatku HTTPS Everywhere lub podobnego w obsługiwanej witrynie. Witryny, które nie pozwalają na nawigację HTTPS, mogą ujawniać Twoją aktywność.

* Nigdy nie otwieraj pobranego dokumentu przez TOR podczas surfowania po Internecie. Wyobraź sobie więc, że właśnie pobrałeś dokument podczas korzystania z TOR. Teraz – niewinnie – kliknij nazwę dokumentu, aby rzucić okiem. Co się dzieje? Najprawdopodobniej przeglądarka otworzy obsługiwany dokument w formacie osobnej zakładki. Większość z tych dokumentów jest udostępniana przez Google Dysk lub podobne usługi przechowywania… które WYMAGAJĄ logowania do konta użytkownika. Będziesz więc surfować anonimowo i jednocześnie mówić „Hej, jestem John Sanders”. Widzisz, niespójność? Rozwiązanie: NIE klikaj rzeczy, które otwierają więcej rzeczy podczas korzystania z TOR.

* Używaj mostów. Co robisz w prawdziwym życiu, gdy jest rzeka i bardzo chcesz ją przekroczyć bez dotykania wody? Płyniesz łodzią! Ok, nie jest to odpowiedź, której szukałem… przez większość czasu można dojść do mostu i skorzystać z niego, aby dostać się na drugą stronę. Pomysł jest prawie taki sam, gdy korzystasz z TOR; robisz z nas mosty (przekaźniki = bezpieczne przejścia), aby pozbyć się krytyki. Organizacja projektu Tor zapewnia również wiele pomostów dla użytkowników. Są to bezpieczne przejścia do nawigacji online bez narażania Twojego dowodu tożsamości. Dlatego konsekwentnie z nich korzystaj.

* Rekrutuj więcej użytkowników. Aby zostać wartościowym członkiem społeczności TOR, nie surfuj sam. Zadzwoń do znajomych; powiedz im o TOR. Pamiętaj, że im więcej jesteśmy online w TOR, tym silniejsza będzie sieć powoli, ale systematycznie.

Lean Customer Development : Rozwój klienta to nie rozwój produktu

Rozwój produktu odpowiada na pytanie „Kiedy (i co) mogą kupić?” Rozwój klienta odpowiada na pytanie „Czy go kupią?” Rozwój produktu to proces tworzenia nowego produktu lub usługi i (można mieć nadzieję) wprowadzenia go na rynek. Zacznij od koncepcji, zdefiniuj wymagania, stwórz wymagania, przetestuj prawie gotowy produkt, udoskonal go i uruchom. Sposób tworzenia produktu różni się ogromnie w zależności od metodologii, którą kieruje się Twoja organizacja (np. Waterfall, Agile, Scrum itp.). Cechą wspólną wszystkich metodologii rozwoju produktu jest pożądany rezultat: gotowy produkt do kupienia przez klientów. Ale co, jeśli tworzony produkt nie jest produktem, który kupią klienci? Czy „produkt” jest największym ryzykiem, przed którym stoi Twój zespół? A co z ryzykiem rynkowym? Jak powiedział Marc Andressen: „Rynek ma największe znaczenie. I ani wspaniały zespół, ani fantastyczny produkt nie zrekompensują złego rynku ”.

Dzięki rozwojowi klientów budujesz bazę klientów, jednocześnie tworząc produkt lub usługę, która rozwiązuje ich konkretne problemy. Rozwój klienta nie zastępuje rozwoju produktu; to drugi proces, który wykonujesz równolegle z rozwojem produktu. Jeśli oprócz rozwoju produktu zajmowałeś się rozwojem klienta, nie musisz czekać, aż produkt zostanie wprowadzony na rynek, aby wiedzieć, czy klienci dokonają zakupu. Dowiesz się, ponieważ będziesz mieć już klientów beta, ewangelistów i klientów płacących. Rozwój klienta i rozwój produktu to dwa niezależne działania i oba są niezbędne, aby zmaksymalizować szanse odniesienia sukcesu Twojej firmy.

Ile Google wie o Tobie: Ujawnianie informacji – bliższe spojrzenie

Firmy internetowe oferują setki bezpłatnych narzędzi i usług. Z biegiem czasu korzystanie z tych narzędzi ujawnia istotne informacje dotyczące życia osobistego i zawodowego każdego użytkownika, a także jego przyjaciół, rodziny i pracodawcy. Narzędzia obejmują szeroką gamę aplikacji, w tym wyszukiwanie, tłumaczenie językowe, przechowywanie danych, pocztę e-mail, mapy i finanse, a także aplikacje biurowe online, takie jak edytory tekstu, kalendarze i arkusze kalkulacyjne. Innowacje są powszechne, a nowe aplikacje są dodawane każdego dnia. Ilość ujawnianych informacji zależy od rodzaju używanego narzędzia. Twoje wykorzystanie z pewnością będzie się różnić. Pamiętaj, że z biegiem czasu, w miarę dalszego użytkowania, suma ujawnianych informacji będzie rosła. Należy zauważyć, że nie istnieją jeszcze kompleksowe narzędzia do pomiaru ujawniania informacji w sieci, więc podejście, które tu przyjmuję, jest teoretyczne. Pomiar „sumy ujawnionych informacji” jest trudnym problemem, który zasługuje na przyszłe badania. Na przykład możliwe jest zmierzenie ilości nieprzetworzonych danych ujawnionych przez użytkowników, ale dane te mogą być powtarzalne, jak w przypadku wielu podobnych zapytań wyszukiwania, lub w inny sposób mogą zawierać niewiele lub wcale treści informacyjnych. Chociaż narzędzia te są dość wydajne i łatwe w użyciu, zachęcają również do ujawniania poufnych informacji w zastraszającym tempie. Każda indywidualna interakcja, taka jak wyszukiwanie w Internecie, może wydawać się nieistotna w oderwaniu od innych, ale suma sumy (być może zgromadzona przez lata używania szerokiej gamy narzędzi) tworzy niepokojąco jasny obraz Twojego życia. Wbrew intuicji, im prostsze w użyciu są te narzędzia, tym więcej informacji masz ochotę ujawnić, a tym samym większe ryzyko ich ujawnienia. Przeglądając tabelę, powinieneś zobaczyć oszałamiającą gamę usług oferowanych przez Google. Ale na razie kluczową ideą jest zrozumienie, że każda usługa ujawnia coś ważnego dla firmy internetowej. Im więcej ofert oferuje dana firma, tym więcej informacji o Tobie posiada, a co za tym idzie, tym większą moc im zapewniasz.

Ciemna Strona Neta : Gdzie jest broń masowej konstrukcji?

Jeśli wzniosła reakcja na irańskie protesty ma jakąkolwiek wskazówkę, zachodni decydenci gubią się w mgle cyberutopizmu, quasi-religijnej wiary w potęgę internetu do robienia nadprzyrodzonych rzeczy, od wykorzenienia analfabetyzmu w Afryce po organizowanie wszystkiego światowych informacji i jest jednym z głównych przekonań Doktryny Google. Otwarcie zamkniętych społeczeństw i spłukiwanie ich sokiem demokracji, dopóki nie zrzucą autorytarnej skóry, to tylko jedno z wysokich oczekiwań, jakie stawia się obecnie w Internecie. Nic dziwnego, że w gazecie Guardian z 2010 roku zaproponowano nawet „bombardowanie Iranu szerokopasmowym”; Internet jest postrzegany jako potężniejszy niż bomba. Wydaje się, że cyberutopizm jest obecnie wszędzie: koszulki wzywające decydentów do „upuszczania tweetów, a nie bomb” – odważne hasło każdego współczesnego ruchu antywojennego – są już w sprzedaży online, podczas gdy w 2009 roku jedna z ulic obozu dla uchodźców palestyńskich została nawet nazwany na cześć konta na Twitterze. Tweety oczywiście nie obalają rządów; ludzie to robią (w kilku wyjątkowych przypadkach marines i CIA mogą sobie poradzić). Jon Stewart z The Daily Show wyśmiał mityczną moc internetu, aby osiągnąć to, co nawet najbardziej zaawansowana armia na świecie ma tyle trudności w Iraku i Afganistanie: „Dlaczego musieliśmy wysłać armię, skoro mogliśmy ich wyzwolić w ten sam sposób, w jaki kupujemy buty? ” Rzeczywiście, dlaczego? Żart zaginął z powodu Daniela Kimmage, starszego analityka Radia Wolna Europa / Radio Liberty, który twierdzi, że „nieskrępowany dostęp do bezpłatnego internetu jest. . . bardzo praktyczny sposób przeciwdziałania Al-Kaidzie. . . . W miarę jak użytkownicy coraz częściej dają o sobie znać, wynikający z tego chaos. . . może wstrząsnąć internetowym gmachem totalitarnej ideologii Al-Kaidy ”. Jihad Jane i cała liczba innych podejrzanych postaci, które zostały zwerbowane do terrorystów w Internecie, ze smutkiem dowiedzieliby się, że nie surfują po Internecie wystarczająco długo. Pod koniec 2009 roku cyberutopizm osiągnął nowe wyżyny, a Norweski Komitet Noblowski nie sprzeciwił się, gdy Wired Italy (włoskie wydanie popularnego magazynu technologicznego) nominowało Internet do Pokojowej Nagrody Nobla w 2010 roku, będącej wynikiem kampanii publicznej autorstwa wielu celebrytów, od Giorgio Armaniego po Shirin Ebadi, poprzednią zdobywczynię nagrody. (W 1991 r. Lennart Meri, przyszły prezydent Estonii, nominował Radio Wolna Europa do tej samej nagrody za rolę, jaką odegrał w doprowadzeniu do końca Związku Radzieckiego – co jest kolejną interesującą paralelą z erą zimnej wojny). Dlaczego Internet zasługiwał na tą nagroda ębardziej niż chiński działacz na rzecz praw człowieka Liu Xiaobo, który okazał się ostatecznym zwycięzcą nagrody? Uzasadnienia wydawane przez redaktorów różnych krajowych wydań magazynu Wired, są oficjalnym organem drukującym Kościoła Cyber-utopizmu symptomatycznym dla rodzaju dyskursu, który prowadził amerykańskich dyplomatów aby błądzić w Iranie. Riccardo Luna, redaktor włoskiego wydania, zaproponował, że Internet jest „pierwszą bronią masowej konstrukcji, którą możemy użyć, aby zniszczyć nienawiść i konflikty oraz propagować pokój i demokrację”. Chris Anderson, redaktor oryginalnego amerykańskiego wydania, stwierdził, że „konto na Twitterze może nie równać się z AK-47. . . na dłuższą metę klawiatura jest potężniejsza niż miecz ”. David Rowan, redaktor brytyjskiego wydania, przekonywał, że Internet „dał nam wszystkim szansę na odebranie władzy rządom i korporacjom międzynarodowym. Dzięki temu świat stał się całkowicie przezroczystym miejscem ”. I jak całkowicie przezroczysty świat może nie być jednocześnie światem bardziej demokratycznym? Najwyraźniej nic złego się nigdy nie dzieje w Internecie odwiedzanym przez redaktorów Wired; nawet spam mógłby być postrzegany jako ostateczna forma współczesnej poezji. Ale odmowa uznania ciemniejszej strony Internetu jest jak wizyta w Berkeley w Kalifornii, cyber-utopijnej siedzibie i stwierdzenie, że tak też żyje reszta Ameryki: różnorodna, tolerancyjna, zalana słońcem, z dużą ilością organicznej żywności i dobrego wina i hordy działaczy politycznych przez całe życie walczących o sprawy, które jeszcze nie istnieją. Ale reszta Ameryki tak nie jest, a reszta świata na pewno nie. W tym miejscu może być potrzebne dalsze wyjaśnienie. Granica między cyberutopizmem a cybernaiwnością jest zamazana. W rzeczywistości powodem, dla którego tak wielu polityków i dziennikarzy wierzy w potęgę Internetu, jest to, że nie poświęcili zbyt wiele uwagi temu tematowi. Ich wiara nie jest wynikiem dokładnej analizy tego, jak Internet jest używany przez dyktatorów lub jak zmienia kulturę oporu i sprzeciwu. Wręcz przeciwnie, najczęściej jest to po prostu bezmyślna akceptacja konwencjonalnej mądrości, która zakłada, że ​​skoro autorytarne rządy cenzurują Internet, muszą się go naprawdę bać. Tak więc, zgodnie z tym poglądem, sama obecność tętniącej życiem kultury internetowej znacznie zwiększa prawdopodobieństwo upadku takich reżimów.

Audyt Umysłu Hackera : Jak Oleg Zezov ‘rozkminił’ Michaela Bloomberga

W maju 1999 roku Kazkommerts Securities, mała firma z siedzibą w Ałmatach, w Kazachstanie, zawarła z Bloomberg L.P. umowę na świadczenie usług bazodanowych dla firmy. Wkrótce potem pracownik Kazkommerts imieniem Oleg Zezov (rzekomo szef działu technologii informatycznych w Kazkommerts) odkrył, że może wykorzystać swój nowo uzyskany dostęp wynikający z przejęcia usług Bloomberga, aby eskalować swoje uprawnienia w sieci Bloomberga w celu wykorzystywania wad oprogramowania i kradzieży różnych użytkowników dane logowania, w tym dane Michaela Bloomberga, założyciela, a następnie szefa Bloomberg LP Po uzyskaniu dostępu do kont różnych pracowników Bloomberga i odzyskaniu danych z tych kont, w tym danych karty kredytowej Michaela Bloomberga, Zezov wysłał e-mail z pogróżkami do Michaela Bloomberga, żądjąc znacznej ilości pieniędzy. W zamian Zezov zaoferował ujawnienie sposobów, w jakie włamał się do systemów komputerowych Bloomberga i uzyskał niezbędne dane uwierzytelniające, aby złamać konto i dane szefa firmy. Po uświadomieniu sobie charakteru włamania, Bloomberg szybko naprawił lukę oprogramowania, która umożliwiła Zezovowi dostęp do sieci i współpracował z FBI w celu zatrzymać Zezova i jego wspóliks w Londynie, gdzie zgodzili się „rozwiązać” problem. Chociaż do dziś szczegóły usterki oprogramowania i systemów komputerowych otaczających włamanie pozostają niejasne (przynajmniej w domenie publicznej), jasne jest, że nie dokonano dokładnej oceny w odniesieniu do zagrożenia, jakie stanowi zagrożenie dla różnych aktywów w Bloomberg LP, zwłaszcza jeśli chodzi o zagrożenie wewnętrzne. Chociaż Zezov nie był pracownikiem Bloomberga, pod pewnymi względami można go uznać za insidera, biorąc pod uwagę, że jego ataki na Bloomberg były możliwe dzięki autoryzowanemu dostępowi do usług bazy danych Bloomberga jako klient.

Audyt Umysłu Hackera: Studium przypadku – Kevin D. Mitnick

„Ponad dziesięć lat temu włamałem się do szeregu systemów należących do firmy Digital Equipment Corp. [DEC], znajdujących się w rozległej sieci korporacji o nazwie Easynet” – wspomina Kevin Mitnick. „Moim ostatecznym celem było uzyskanie dostępu do systemów w Działu inżynieryjnego DEC w celu odzyskania kodu źródłowego flagowego produktu systemu operacyjnego VMS-DEC. Celem pozyskania kodu źródłowego dla VMS i innych systemów operacyjnych było przeanalizowanie niezwykle dobrze skomentowanego [udokumentowanego] kodu, napisanego przez programistów DEC, aby określić, gdzie wprowadzono modyfikacje związane z bezpieczeństwem. Inżynierowie DEC często dokumentowali szczegóły naprawionej luki obok segmentu kodu, który wcześniej był podatny na ataki. Generalnie nieznany fakt, moim ostatecznym celem jako hakera było stać się najlepszym w omijaniu systemów bezpieczeństwa i pokonywaniu wszelkich technicznych przeszkód, które staną mi na drodze; bez względu na cel miałem wystarczająco dużo wytrwałości, aby zawsze odnosić sukcesy ”. „Stawiam na linii  moją wolność dla czystej rozrywki…” „Chociaż uzyskałem już dostęp do sieci DEC Easynet, żaden z systemów, do których miałem dostęp, nie znajdował się w klastrze programistycznym VMS. Jedną z metod zbierania informacji było zainstalowanie snifferów sieciowych w systemach, które wcześniej złamałem, mając nadzieję, że uda mi się przechwycić interesujące informacje, takie jak dane uwierzytelniające użytkownika. Moim celem było ostateczne uzyskanie dostępu do klastra programistycznego VMS – wraz z narzędziami programistycznymi i najnowszą wersją kodu źródłowego systemu operacyjnego. Niestety, w tamtych czasach wielu producentów systemów operacyjnych nie ustandaryzowało jeszcze używania TCP / IP jako preferowanego protokołu transportu sieciowego. Większość systemów na platformie Easynet, jeśli nie wszystkie, korzystała głównie z protokołu DECNET / E. Zainstalowałem sniffery na niektórych zainfekowanych węzłach (systemach), co pozwoliło mi uzyskać dostęp do dodatkowych zasobów obliczeniowych. Docelowymi zasobami były inne węzły w sieci z wystarczającą ilością nieużywanej pamięci dyskowej oraz każdy system, który miał bezpośrednie połączenie z Internetem. Pliki kodu źródłowego były tak duże, nawet po skompresowaniu, że pobranie ich przez dial-up zajęłoby miesiące. Potrzebowałem sposobu na przeniesienie kodu poza DEC, abym mógł go przeanalizować bez obawy, że zostanę wykryty. I tak zacząłem badać możliwość napisania lub nabycia sniffera, który działałby z protokołem DECNET / E. Po kilku godzinach poszukiwań pojawiło się kilku nazwisk sprzedawców, którzy sprzedawali drogie produkty, które przydałyby się w moich próbach przechwycenia ruchu. Jakiś czas później natknąłem się na program diagnostyczny sieci zaprojektowany do analizy i monitorowania protokołów DECNET / E, napisany przez firmę Polar Systems z Doliny San Fernando. Cechą pakietu diagnostyki sieci była możliwość zbierania i wyświetlania pakietów zebranych z interfejsu DECNET. Narzędzie było właśnie tym, czego potrzebowałem – musiałem tylko dowiedzieć się, jak zamierzam je pożyczyć. Moje pierwsze próby odzyskania oprogramowania z firmy Polar Systems polegały na wykorzystaniu mojej wiedzy o systemie telefonicznym do określenia, które numery telefonów również kończyły się pod prawdopodobnym adresem, pod którym produkt został opracowany, sprzedany lub obsługiwany. Po każdym numerze telefonu kończącym się pod adresem Polar Systems przystąpiłem do identyfikowania linii danych, faksów i głosowych. Okazało się, że Polar Systems faktycznie uruchomiło komuś w mieszkaniu, co znacznie ułatwiło mi rekonesans. Zidentyfikowałem dwa numery, które odpowiadały z nowoczesnym oddechem. Połączyłem się z obydwoma, odkrywając aż nazbyt znajomy sygnał dźwiękowy, wskazujący, że skrzynka czeka, aż wprowadzę hasło systemowe. Funkcja bezpieczeństwa pozwalała operatorowi wymagać hasła, zanim system zapyta o nazwę użytkownika i hasło. Znakiem rozpoznawczym był charakterystyczny sygnał dźwiękowy po naciśnięciu klawisza powrotu na moim terminalu VT100. Domyśliłem się, że Polar Systems użył tych numerów do zdalnego połączenia się z ich systemem – być może gdybym mógł uzyskać dostęp przez ich mechanizm telefoniczny, mógłbym uzyskać dostęp do ich systemu programistycznego, wraz z oprogramowaniem sniffer, a jeśli miałbym szczęście, kodem źródłowym! Natychmiast rozłączyłem się z moją sesją telefoniczną, ponieważ nie chciałem wzbudzać podejrzeń, jeśli przypadkiem obserwowali migające kontrolki modemu dial-up. W końcu firma została wyprowadzona z czyjegoś domu. Po długim namyśle zdecydowałem, że najłatwiej będzie przeprowadzić atak mieszany, wykorzystując zarówno socjotechnikę, jak i wiedzę techniczną. Przypomniałem sobie, że DEC znajdował się pod silną presją, aby opublikować poprawki bezpieczeństwa dla niektórych nowo odkrytych luk, które zostały niedawno opublikowane. W związku z tym DEC utworzył specjalny bezpłatny numer, aby każdy mógł zadzwonić i poprosić o najnowszy zestaw poprawek bezpieczeństwa na taśmie magnetycznej lub kasetowej. Na szczęście operator telefoniczny pod bezpłatnym numerem nie zawracał sobie głowy sprawdzaniem, czy klient jest legalnym klientem.

Oznaczało to, że prawie każdy, kto miał linię telefoniczną i spryt, by zadzwonić do DEC, może otrzymać bezpłatny zestaw poprawek bezpieczeństwa krytycznych dla taśmy za cenę połączenia z bezpłatnym numerem – całkowicie za darmo. Złożyłem kilka próśb telefonicznych o dostarczenie zestawów poprawek na kilka adresów w rejonie Los Angeles. Po otrzymaniu zestawów łatek przystąpiłem do ostrożnego usuwania taśmy i materiałów pisemnych, zakładając parę lateksowych rękawiczek, aby mieć pewność, że moje odciski palców nie zostaną na taśmach. Wiedziałem, że ostatecznie znajdą się w posiadaniu mojego celu, a być może później, do organów ścigania. Po wyodrębnieniu plików ze specjalnej kopii zapasowej sformatowanej w VMS (saveset), zdecydowałem, że najlepszym sposobem osiągnięcia mojego celu jest backdoorowanie zestawu poprawek dodatkowym kodem, który potajemnie modyfikowałby program logowania do VMS, który był odpowiedzialny za uwierzytelnianie użytkowników na poziomie systemu operacyjnego, który stał między mną a firmą Polar Systems IPR. Po kilku godzinach analizy zidentyfikowałem segment pliku binarnego, który mógłby zostać użyty do wstrzyknięcia moich własnych instrukcji – w tym przypadku kilka instrukcji skoku do nieużywanych obszarów w obrazie programu logowania, które zawierałyby kilka „specjalnych” funkcji, które dał mi pełną kontrolę nad systemem po zainstalowaniu. Aby pomóc sobie w pracy, kupiłem podobną łatkę napisaną przez Chaos Computer Club (CCC), która zasadniczo zrobiła to samo na wcześniejszej wersji VMS. Po kilku dniach badań, programowania i testowania zdecydowałem, że łatka jest gotowa do włączenia do zestawu poprawek bezpieczeństwa. Zwinąłem moją poprawkę ze wszystkimi innymi legalnymi plikami do nowej kopii zapasowej w formacie VMS; Zapisałem to na taśmę i starannie przepakowałem pudełko, tak jak przyjechało z DEC. Zadałem sobie nawet trud owijania taśmy na kasetę wraz z listem przewozowym, aby nadać jej dodatkową dawkę autentyczności. Ostrożnie przepakowałem świeżo owiniętą taśmę termokurczliwą do pudełka z etykietą DEC – tego, w którym ją otrzymałem – uważając, aby na taśmie ani w pudełku nie zostały odciski palców, komórki skóry ani włosy. Następnym krokiem było znalezienie najlepszego sposobu, aby mój cel zainstalował aktualizację z mojej „specjalnej” taśmy. Myślałem o wysłaniu go pocztą z Los Angeles, ale to mogło oznaczać czerwoną flagę – prawdziwa taśma została wysłana z Massachusetts. Musiałem wymyślić lepszy sposób. Gdy cel zainstaluje aktualizację „zabezpieczeń” w swoich systemach, będę mógł wkraść się przez ich połączenie telefoniczne i pobrać programy, których potrzebowałem, aby pomóc mi w dalszej penetracji Easynet firmy DEC. Wszystko szło zgodnie z planem – zdecydowałem się zostać dostawcą UPS na jeden dzień i ręcznie dostarczyć paczkę do rezydencji, w której firma Polar Systems prowadziła swoją działalność. Po zakupie stroju na dostawcę UPS w sklepie z kostiumami (Hollywood to świetne miejsce na zakup kostiumów), wcześnie rano odwiedziłem adres firmy Polar Systems. W drzwiach przywitał mnie jakiś facet, który wyglądał, jakby potrzebował jeszcze kilku godzin snu. Pośpiesznie poprosiłem pana o podpisanie paczki, ponieważ skarżyłem się, że spóźniłem się na kolejną dostawę. Pan wspólnie podpisał paczkę i zabrał ją do domu, zamykając za sobą drzwi. ” Możesz się zastanawiać, dlaczego rozproszyłem go, działając w pośpiechu. Cóż, chociaż nie chciałem wzbudzać podejrzeń, natrafiając w nienaturalny sposób, brakowało mi jednego ważnego przedmiotu, który posiadali wszyscy kurierzy UPS – ciężarówka UPS. Na szczęście bezwładny dżentelmen nie zauważył niczego niezwykłego ”. Następnego dnia połączyłem się z modemami Polar Systems, wprowadzając tajną frazę wymaganą do aktywacji mojego backdoora. Ku mojemu rozczarowaniu próba się nie powiodła – pomyślałem, że prawdopodobnie nie zainstalowali jeszcze poprawki zabezpieczeń. Po około 10 dniach firma Polar Systems w końcu zainstalowała aktualizację krytyczną, co pozwoliło mi ominąć uwierzytelnianie na linii telefonicznej i umożliwiło dostęp zarówno do drzewa źródłowego, jak i dystrybucji binarnej narzędzia do monitorowania DECNET firmy Polar Systems ”.

Zaufanie w Cyberspace : Otwarty model bezpieczeństwa

Obecnie technologie internetowe i sieciowe rozszerzyły się na wiele wymiarów. Kiedy podaje się prostą definicję, taką jak Internet, to sieć sieci nie wyjaśnia, jak złożony i dynamiczny może być zasięg sieci lub jak wielowarstwowe mogą być procesy komunikacyjne. Na przykład internetowe intranety lub ekstranety powszechnie określane jako wirtualne sieci prywatne (VPN) są technologią wykorzystującą Internet lub inną sieć pośrednią do łączenia komputerów w izolowane zdalne sieci komputerowe, które w przeciwnym razie byłyby niedostępne. Takie sieci mogą również obejmować łączność z siecią bezprzewodową. Różne odległe lokalizacje mogą korzystać z innych rodzajów technologii, takich jak publiczna komutowana sieć telefoniczna (PSTN). PSTN składa się z linii telefonicznych, kabli światłowodowych, łączy transmisji mikrofalowej, sieci komórkowych, satelitów komunikacyjnych i podmorskich kabli telefonicznych, wszystkie połączone ze sobą centrami przełączania, umożliwiając w ten sposób dowolnemu telefonowi na świecie komunikację z innymi. Biorąc pod uwagę dynamikę infrastruktury otwartej sieci, wspólny konsensus celów bezpieczeństwa jest dosłownie niemożliwy do osiągnięcia. W tym przypadku pojęcie otwartego modelu bezpieczeństwa, tak jak go postrzegamy. Definiujemy otwarty model bezpieczeństwa jako ustawienie lub zestaw zasad i zasad bezpieczeństwa, które mogą być ogólnie stosowane w modelu sieci otwartej, jak przedstawiono na rysunku. Wspólnym celem jest to, aby wszystkie transakcje i komunikacja spełniały podstawowe zasady bezpieczeństwa, tzn. Zapewniona była autentyczność, utrzymywana była autoryzacja, możliwa była weryfikacja integralności danych, zapewniona była poufność, a niezaprzeczalność mogłaby zostać potwierdzona. Jednakże, która część wymaga, który poziom bezpieczeństwa (lub parametry bezpieczeństwa) powinien być przedmiotem otwartych standardów i wymagań.