Audyt Umysłu Hackera: Studium przypadku – Kevin D. Mitnick

„Ponad dziesięć lat temu włamałem się do szeregu systemów należących do firmy Digital Equipment Corp. [DEC], znajdujących się w rozległej sieci korporacji o nazwie Easynet” – wspomina Kevin Mitnick. „Moim ostatecznym celem było uzyskanie dostępu do systemów w Działu inżynieryjnego DEC w celu odzyskania kodu źródłowego flagowego produktu systemu operacyjnego VMS-DEC. Celem pozyskania kodu źródłowego dla VMS i innych systemów operacyjnych było przeanalizowanie niezwykle dobrze skomentowanego [udokumentowanego] kodu, napisanego przez programistów DEC, aby określić, gdzie wprowadzono modyfikacje związane z bezpieczeństwem. Inżynierowie DEC często dokumentowali szczegóły naprawionej luki obok segmentu kodu, który wcześniej był podatny na ataki. Generalnie nieznany fakt, moim ostatecznym celem jako hakera było stać się najlepszym w omijaniu systemów bezpieczeństwa i pokonywaniu wszelkich technicznych przeszkód, które staną mi na drodze; bez względu na cel miałem wystarczająco dużo wytrwałości, aby zawsze odnosić sukcesy ”. „Stawiam na linii  moją wolność dla czystej rozrywki…” „Chociaż uzyskałem już dostęp do sieci DEC Easynet, żaden z systemów, do których miałem dostęp, nie znajdował się w klastrze programistycznym VMS. Jedną z metod zbierania informacji było zainstalowanie snifferów sieciowych w systemach, które wcześniej złamałem, mając nadzieję, że uda mi się przechwycić interesujące informacje, takie jak dane uwierzytelniające użytkownika. Moim celem było ostateczne uzyskanie dostępu do klastra programistycznego VMS – wraz z narzędziami programistycznymi i najnowszą wersją kodu źródłowego systemu operacyjnego. Niestety, w tamtych czasach wielu producentów systemów operacyjnych nie ustandaryzowało jeszcze używania TCP / IP jako preferowanego protokołu transportu sieciowego. Większość systemów na platformie Easynet, jeśli nie wszystkie, korzystała głównie z protokołu DECNET / E. Zainstalowałem sniffery na niektórych zainfekowanych węzłach (systemach), co pozwoliło mi uzyskać dostęp do dodatkowych zasobów obliczeniowych. Docelowymi zasobami były inne węzły w sieci z wystarczającą ilością nieużywanej pamięci dyskowej oraz każdy system, który miał bezpośrednie połączenie z Internetem. Pliki kodu źródłowego były tak duże, nawet po skompresowaniu, że pobranie ich przez dial-up zajęłoby miesiące. Potrzebowałem sposobu na przeniesienie kodu poza DEC, abym mógł go przeanalizować bez obawy, że zostanę wykryty. I tak zacząłem badać możliwość napisania lub nabycia sniffera, który działałby z protokołem DECNET / E. Po kilku godzinach poszukiwań pojawiło się kilku nazwisk sprzedawców, którzy sprzedawali drogie produkty, które przydałyby się w moich próbach przechwycenia ruchu. Jakiś czas później natknąłem się na program diagnostyczny sieci zaprojektowany do analizy i monitorowania protokołów DECNET / E, napisany przez firmę Polar Systems z Doliny San Fernando. Cechą pakietu diagnostyki sieci była możliwość zbierania i wyświetlania pakietów zebranych z interfejsu DECNET. Narzędzie było właśnie tym, czego potrzebowałem – musiałem tylko dowiedzieć się, jak zamierzam je pożyczyć. Moje pierwsze próby odzyskania oprogramowania z firmy Polar Systems polegały na wykorzystaniu mojej wiedzy o systemie telefonicznym do określenia, które numery telefonów również kończyły się pod prawdopodobnym adresem, pod którym produkt został opracowany, sprzedany lub obsługiwany. Po każdym numerze telefonu kończącym się pod adresem Polar Systems przystąpiłem do identyfikowania linii danych, faksów i głosowych. Okazało się, że Polar Systems faktycznie uruchomiło komuś w mieszkaniu, co znacznie ułatwiło mi rekonesans. Zidentyfikowałem dwa numery, które odpowiadały z nowoczesnym oddechem. Połączyłem się z obydwoma, odkrywając aż nazbyt znajomy sygnał dźwiękowy, wskazujący, że skrzynka czeka, aż wprowadzę hasło systemowe. Funkcja bezpieczeństwa pozwalała operatorowi wymagać hasła, zanim system zapyta o nazwę użytkownika i hasło. Znakiem rozpoznawczym był charakterystyczny sygnał dźwiękowy po naciśnięciu klawisza powrotu na moim terminalu VT100. Domyśliłem się, że Polar Systems użył tych numerów do zdalnego połączenia się z ich systemem – być może gdybym mógł uzyskać dostęp przez ich mechanizm telefoniczny, mógłbym uzyskać dostęp do ich systemu programistycznego, wraz z oprogramowaniem sniffer, a jeśli miałbym szczęście, kodem źródłowym! Natychmiast rozłączyłem się z moją sesją telefoniczną, ponieważ nie chciałem wzbudzać podejrzeń, jeśli przypadkiem obserwowali migające kontrolki modemu dial-up. W końcu firma została wyprowadzona z czyjegoś domu. Po długim namyśle zdecydowałem, że najłatwiej będzie przeprowadzić atak mieszany, wykorzystując zarówno socjotechnikę, jak i wiedzę techniczną. Przypomniałem sobie, że DEC znajdował się pod silną presją, aby opublikować poprawki bezpieczeństwa dla niektórych nowo odkrytych luk, które zostały niedawno opublikowane. W związku z tym DEC utworzył specjalny bezpłatny numer, aby każdy mógł zadzwonić i poprosić o najnowszy zestaw poprawek bezpieczeństwa na taśmie magnetycznej lub kasetowej. Na szczęście operator telefoniczny pod bezpłatnym numerem nie zawracał sobie głowy sprawdzaniem, czy klient jest legalnym klientem.

Oznaczało to, że prawie każdy, kto miał linię telefoniczną i spryt, by zadzwonić do DEC, może otrzymać bezpłatny zestaw poprawek bezpieczeństwa krytycznych dla taśmy za cenę połączenia z bezpłatnym numerem – całkowicie za darmo. Złożyłem kilka próśb telefonicznych o dostarczenie zestawów poprawek na kilka adresów w rejonie Los Angeles. Po otrzymaniu zestawów łatek przystąpiłem do ostrożnego usuwania taśmy i materiałów pisemnych, zakładając parę lateksowych rękawiczek, aby mieć pewność, że moje odciski palców nie zostaną na taśmach. Wiedziałem, że ostatecznie znajdą się w posiadaniu mojego celu, a być może później, do organów ścigania. Po wyodrębnieniu plików ze specjalnej kopii zapasowej sformatowanej w VMS (saveset), zdecydowałem, że najlepszym sposobem osiągnięcia mojego celu jest backdoorowanie zestawu poprawek dodatkowym kodem, który potajemnie modyfikowałby program logowania do VMS, który był odpowiedzialny za uwierzytelnianie użytkowników na poziomie systemu operacyjnego, który stał między mną a firmą Polar Systems IPR. Po kilku godzinach analizy zidentyfikowałem segment pliku binarnego, który mógłby zostać użyty do wstrzyknięcia moich własnych instrukcji – w tym przypadku kilka instrukcji skoku do nieużywanych obszarów w obrazie programu logowania, które zawierałyby kilka „specjalnych” funkcji, które dał mi pełną kontrolę nad systemem po zainstalowaniu. Aby pomóc sobie w pracy, kupiłem podobną łatkę napisaną przez Chaos Computer Club (CCC), która zasadniczo zrobiła to samo na wcześniejszej wersji VMS. Po kilku dniach badań, programowania i testowania zdecydowałem, że łatka jest gotowa do włączenia do zestawu poprawek bezpieczeństwa. Zwinąłem moją poprawkę ze wszystkimi innymi legalnymi plikami do nowej kopii zapasowej w formacie VMS; Zapisałem to na taśmę i starannie przepakowałem pudełko, tak jak przyjechało z DEC. Zadałem sobie nawet trud owijania taśmy na kasetę wraz z listem przewozowym, aby nadać jej dodatkową dawkę autentyczności. Ostrożnie przepakowałem świeżo owiniętą taśmę termokurczliwą do pudełka z etykietą DEC – tego, w którym ją otrzymałem – uważając, aby na taśmie ani w pudełku nie zostały odciski palców, komórki skóry ani włosy. Następnym krokiem było znalezienie najlepszego sposobu, aby mój cel zainstalował aktualizację z mojej „specjalnej” taśmy. Myślałem o wysłaniu go pocztą z Los Angeles, ale to mogło oznaczać czerwoną flagę – prawdziwa taśma została wysłana z Massachusetts. Musiałem wymyślić lepszy sposób. Gdy cel zainstaluje aktualizację „zabezpieczeń” w swoich systemach, będę mógł wkraść się przez ich połączenie telefoniczne i pobrać programy, których potrzebowałem, aby pomóc mi w dalszej penetracji Easynet firmy DEC. Wszystko szło zgodnie z planem – zdecydowałem się zostać dostawcą UPS na jeden dzień i ręcznie dostarczyć paczkę do rezydencji, w której firma Polar Systems prowadziła swoją działalność. Po zakupie stroju na dostawcę UPS w sklepie z kostiumami (Hollywood to świetne miejsce na zakup kostiumów), wcześnie rano odwiedziłem adres firmy Polar Systems. W drzwiach przywitał mnie jakiś facet, który wyglądał, jakby potrzebował jeszcze kilku godzin snu. Pośpiesznie poprosiłem pana o podpisanie paczki, ponieważ skarżyłem się, że spóźniłem się na kolejną dostawę. Pan wspólnie podpisał paczkę i zabrał ją do domu, zamykając za sobą drzwi. ” Możesz się zastanawiać, dlaczego rozproszyłem go, działając w pośpiechu. Cóż, chociaż nie chciałem wzbudzać podejrzeń, natrafiając w nienaturalny sposób, brakowało mi jednego ważnego przedmiotu, który posiadali wszyscy kurierzy UPS – ciężarówka UPS. Na szczęście bezwładny dżentelmen nie zauważył niczego niezwykłego ”. Następnego dnia połączyłem się z modemami Polar Systems, wprowadzając tajną frazę wymaganą do aktywacji mojego backdoora. Ku mojemu rozczarowaniu próba się nie powiodła – pomyślałem, że prawdopodobnie nie zainstalowali jeszcze poprawki zabezpieczeń. Po około 10 dniach firma Polar Systems w końcu zainstalowała aktualizację krytyczną, co pozwoliło mi ominąć uwierzytelnianie na linii telefonicznej i umożliwiło dostęp zarówno do drzewa źródłowego, jak i dystrybucji binarnej narzędzia do monitorowania DECNET firmy Polar Systems ”.

Zaufanie w Cyberspace : Otwarty model bezpieczeństwa

Obecnie technologie internetowe i sieciowe rozszerzyły się na wiele wymiarów. Kiedy podaje się prostą definicję, taką jak Internet, to sieć sieci nie wyjaśnia, jak złożony i dynamiczny może być zasięg sieci lub jak wielowarstwowe mogą być procesy komunikacyjne. Na przykład internetowe intranety lub ekstranety powszechnie określane jako wirtualne sieci prywatne (VPN) są technologią wykorzystującą Internet lub inną sieć pośrednią do łączenia komputerów w izolowane zdalne sieci komputerowe, które w przeciwnym razie byłyby niedostępne. Takie sieci mogą również obejmować łączność z siecią bezprzewodową. Różne odległe lokalizacje mogą korzystać z innych rodzajów technologii, takich jak publiczna komutowana sieć telefoniczna (PSTN). PSTN składa się z linii telefonicznych, kabli światłowodowych, łączy transmisji mikrofalowej, sieci komórkowych, satelitów komunikacyjnych i podmorskich kabli telefonicznych, wszystkie połączone ze sobą centrami przełączania, umożliwiając w ten sposób dowolnemu telefonowi na świecie komunikację z innymi. Biorąc pod uwagę dynamikę infrastruktury otwartej sieci, wspólny konsensus celów bezpieczeństwa jest dosłownie niemożliwy do osiągnięcia. W tym przypadku pojęcie otwartego modelu bezpieczeństwa, tak jak go postrzegamy. Definiujemy otwarty model bezpieczeństwa jako ustawienie lub zestaw zasad i zasad bezpieczeństwa, które mogą być ogólnie stosowane w modelu sieci otwartej, jak przedstawiono na rysunku. Wspólnym celem jest to, aby wszystkie transakcje i komunikacja spełniały podstawowe zasady bezpieczeństwa, tzn. Zapewniona była autentyczność, utrzymywana była autoryzacja, możliwa była weryfikacja integralności danych, zapewniona była poufność, a niezaprzeczalność mogłaby zostać potwierdzona. Jednakże, która część wymaga, który poziom bezpieczeństwa (lub parametry bezpieczeństwa) powinien być przedmiotem otwartych standardów i wymagań.

Dlaczego TOR jest opłacalnym rozwiązaniem?

Jak już zauważyliśmy, TOR to krótka nazwa routera cebulowego. Jego pierwotny rozwój przez wojsko miał na celu ustanowienie bezpiecznej sieci komunikacyjnej do celów rządowych. W dzisiejszych czasach serwery TOR pozwalają każdemu użytkownikowi stać się anonimowym online. Podobnie jak skórki cebuli (symbol TOR), ta usługa ma kilka warstw (routerów) do przenoszenia ruchu w celu ukrycia Twojej prawdziwej tożsamości. Tak więc każdy, kto chce poznać twoją tożsamość podczas korzystania z TOR, napotka kilka losowych serwerów TOR; co oczywiście nic nie znaczy. Głównym celem tego odchylenia ruchu jest to, że węzły w sieci TOR służą do kamuflażu prawdziwego źródła aktywności (Ciebie). Dzięki temu będziesz mógł pozostać ukryty przed usługami stron trzecich, które śledzą dane osobowe.

Jakie są zastosowania TOR?

Aby dodać kontekst do tego wszechstronnego narzędzia programowego, oto kilka przypadków, w których TOR może się przydać:

* Chcesz wyszukać jakieś informacje, ale NIE MASZ tego robić. Dlatego musisz zachować anonimowość.

* Chcesz uczynić nas publicznym komputerem, aby uniknąć wycieku danych osobowych.

* Nie chcesz udostępniać osobistej aktywności online reklamodawcom, dostawcom usług internetowych, witrynom internetowym i podobnym źródłom gromadzenia danych.

* Musisz unikać policji lub cenzury państwowej (najprawdopodobniej w krajach, w których obowiązują takie zasady) lub chcesz podzielić się wiedzą z organizacją taką jak WikiLeaks.

Lean Customer Development : Czym nie jest rozwój klienta

Istnieje wiele nieporozumień dotyczących tego, czym nie jest rozwój klienta, jak i tego, czym on jest..

Rozwój klienta to nie tylko start-upy

Kiedy w 2009 roku ukazało się The Lean Startup, było tak wiele firm które powoli przyjmował pomysły, które wprowadził. „Nie jesteśmy startupem” – odpowiedzieli. Chociaż Eric Ries używa słowa „startup” w tytule swojej książki, a Steve Blank napisał konkretnie o rozwoju klientów w odniesieniu do start-upów, startupy nie są jedynymi firmami, które odnoszą korzyści z rozwoju klientów. Z pewnością startupy charakteryzują się większym stopniem niepewności niż dojrzałe firmy; wciąż poszukują modelu biznesowego, strategii dystrybucji, bazy klientów. Ale większe, bardziej dojrzałe firmy również nie mogą zakładać, że ich modele pozostaną statyczne. Rynki i zmiany technologiczne. Ponadto większym firmom często trudno jest odwrócić uwagę i zasoby od dochodowych branż w celu zbadania nowych rynków i obszarów innowacji – pozostawiając je gotowe na zakłócenia. Rozwój klienta, ze szczególnym uwzględnieniem uczenia się i walidacji w małych partiach, może promować innowacje wewnętrzne. Na przykład Intuit wprowadził na rynek wiele produktów wykorzystujących rozwój klienta, w tym SnapTax i Fasal. General Electric stosuje zasady Lean. Podobnie Toyota, nowojorski Departament Edukacji i program prezydenckich stypendystów ds. innowacji w Białym Domu. Znaczna część tekstu jest przeznaczona dla czytelników z początkujących start-upów, dużych firm o ugruntowanej pozycji i wszystkiego pomiędzy.

Audyt Umysłu Hakera : Charakterystyka cyberprzestępców

Kiedy wybrałeś ten tekst, prawdopodobnie zrobiłeś to z jednego z dwóch powodów: zwykłej ciekawości tematu lub poczucia, że ​​da ci to lepsze zrozumienie, przed kim chronisz swoje aktywa i jak może lepiej wykonywać to zadanie. Administratorzy systemów i inni specjaliści IT często szukają lepszego zrozumienia, przed kim chronimy nasze zasoby; często powoduje to poczucie niepewności lub wrażliwości – czynnik „niewiedzy”. Uczucie „niewiedzy” można wprowadzić do równania na wiele sposobów, a poziomy i nie zawsze są bezpośrednio związane z administrowaniem sieciami komputerowymi. Być może jesteś członkiem działu zasobów ludzkich w Twojej firmie i nie jesteś pewien, czy młody administrator systemów, którego właśnie zatrudniłeś, może pewnego dnia obrócić  się przeciwko firmie, powodując szkody w jej majątku na masową skalę. I czyja byłaby to wina, gdyby tak się stało? Więc może nie powinieneś ryzykować i po prostu znaleźć innego kandydata. Czy jego młody wiek i brak doświadczenia w dużej sieci korporacyjnej zwiększa prawdopodobieństwo, że stanowi on zagrożenie wewnętrzne dla Twojej organizacji? Że być może pewnego dnia zwróci się przeciwko firmie, udostępniając systemy swoim tak zwanym przyjaciołom na kanale Internet Relay Chat, na którym często bywa, bo denerwuje go spór płacowy? Czy może ujawni poufną własność intelektualną firmy konkurentowi, gdy zaoferuje się łapówkę? Być może jesteś administratorem systemów i martwisz się, że systemy, które masz teraz chronić, są zagrożone, ale nie masz pewności, od kogo lub przed czym. Jak wygląda twój przeciwnik? Jakich ataków użyje, próbując włamać się do sieci? Rzeczywiście, co motywuje twojego przeciwnika? Obawiasz się również, że aplikacja o znaczeniu krytycznym nie była zaprojektowane w bezpieczny sposób; jakie czynniki powinien wziąć pod uwagę zespół programistów podczas projektowania środków przeciwdziałania atakom? Te przykłady stanowią niewielki procent pytań, które pracownicy dużych i małych organizacji zadają sobie na co dzień – ale z jakim autorytetem odpowiadają na nie? Jakie kursy studiowali, które pozwalają im dokładnie zidentyfikować zagrożenie dla ich organizacji i skutecznie je złagodzić? Prawda jest taka, że ​​w sektorze publicznym przeciętnym pracownikom jest niewiele danych, które pozwolą im odpowiedzieć na te pytania. Organizacjom rządowym i organom ścigania jest trochę lepiej, biorąc pod uwagę systemy modelowania zagrożeń, z których wiele z nich korzysta na co dzień. Istnieje wyraźna potrzeba lepszego zrozumienia dzisiejszego i jutrzejszego cyberprzestępcy, począwszy od tego, co go motywuje, po zagrożenie, jakie ten przeciwnik stanowi dla aktywów Twojej organizacji. Oczywiście z perspektywy czasu łatwo jest wygłosić ogólnikowe stwierdzenia, takie jak większa świadomość problemów związanych z bezpieczeństwem komputerowym w organizacji złagodziłaby reperkusje wielu incydentów związanych z bezpieczeństwem komputerowym w niedawnej historii, a może nawet zapobiegłaby incydentowi w pierwsze miejsce. Ale jak wiesz, jeśli jesteś administratorem systemów, przekonujesz kierownictwo, że istnieje zagrożenie, próbujesz zidentyfikować naturę tego zagrożenia i wyrażasz to w sposób zrozumiały nawet dla dyrektora generalnego, zwłaszcza gdy wiąże się to ze względami budżetowymi, nie jest takie proste. Nawet w przypadku, gdy miał miejsce incydent, jak możemy się z niego uczyć? Jasne, możesz biegać po łataniu systemów, które prawdopodobnie i tak będą ponownie podatne na ataki za kilka miesięcy, ale czego możemy się nauczyć od przeciwnika, który pomimo tego, co przyznajemy publicznie, przechytrzył cię? Oczywiste jest, że potrzebujemy lepszego zrozumienia głównych właściwości przeciwnika i zestawu sprawdzonych wskaźników charakteryzujących zagrożenie, aby zmierzyć te właściwości i określić, jak dany przeciwnik zachowałby się w określonej sytuacji – lub, co ważniejsze, wobec określonego zasobu. W każdej części znajdziesz różne metryki i zaprojektowane teorie, aby skupić się na różnych zastosowaniach teorii charakteryzacji. Charakteryzujemy zagrożenie od przeciwników wewnątrz Twojej organizacji po zagrożenie, na które Twoja firma może być narażona ze strony tak zwanych cyberprzestępców z najwyższej półki, takich jak członkowie organizacji terrorystycznych i dobrze finansowany łotr państwowy. Na początku podamy kilka studiów przypadku, opartych na prawdziwych wydarzeniach zawierających częściowo fikcyjne informacje lub opisy rzeczywistych incydentów. Chociaż te studia przypadków nie obejmują pełnego zakres problemu charakteryzacji, dobrze przygotowały scenę dla tego, co nadejdzie. Pierwsze studium przypadku to niesławny, Kevin Mitnick i jego atak na małą firmę technologiczną z siedzibą w dolinie San Fernando. (c.d.n.)

Ile Google wie o Tobie : Po prostu wyszukaj to w Google

Gdzieś w ciągu ośmiu lat między powstaniem Google (firma) w 1998 roku i włączenie google (czasownik) do Oksfordzie English  w 2006 roku, Google stało się popularnym słowem, dołączając do szeregów Coke, FedEx, Frisbee, Rollerblade, Spam i Xerox. Pokonując wielu rywali, Google staje się miejscem docelowym dla około 500 milionów unikalnych użytkowników każdego roku. Każdy z tych odwiedzających, w tym Ty i ja, udostępnia ogromne ilości danych osobowych i firmowych za pośrednictwem łatwych w użyciu narzędzi internetowych Google. To ogromna ilość informacji, którą trzeba przekazać jednej firmie i wymaga dużego zaufania, nawet w przypadku firmy, której nieformalne motto brzmi: „Nie bądź zły. Od dziesięciu lat wlewamy wszystkie aspekty naszego życia na serwery Google i podobnych firm. Niezależnie od tego, czy informacje zostaną przypadkowo rozlane, skradzione, wezwane do sądu czy po prostu przeszukane na pełną wartość przez firmy podobne do Google, powinieneś obawiać się, że tak wiele informacji o Tobie jest przechowywanych na serwerach innych osób. Wyciek danych AOL w 2006 r. Nauczył nas, że ta obawa jest uzasadniona, a informacje, które udostępniamy, są niezwykle wrażliwe i często umożliwiają identyfikację osoby. Przyjrzyjmy się bliżej temu, co ujawniacie Ty i 500 milionów innych użytkowników Google. Myśląc o problemie ujawniania informacji, użytecznym sposobem jest zastosowanie miernika ujawnień informacji Sobiesk (SIDM). Miara ujawniania informacji Sobiesk to procent informacji, które udostępniasz firmie internetowej, a których nie chciałbyś udostępniać publicznie. Wyrażone w procentach, SIDM od 10% do 35% są najbardziej powszechne, ale różnią się one w zależności od zaufania użytkownika do każdej firmy internetowej. Jest to wymowne stwierdzenie, które powinno podkreślić znaczenie tego, co ludzie udostępniają Google. Google gromadzi informacje za pośrednictwem kilku głównych wektorów: informacje, które podajesz bezpośrednio za pomocą swojego zestawu narzędzi, informacje zebrane przez robota indeksującego Googlebot, dane demograficzne dotyczące surfowania po sieci z usług Google AdSense i Google Analytics, informacje dostarczane do Google przez innych użytkowników podczas ich używania narzędzi Google oraz informacje uzyskane z baz danych osób trzecich i partnerów biznesowych

Ciemna Strona Neta : Rewolucja w poszukiwaniu rewolucjonistów

Oczywiście dyplomaci amerykańscy nie mieli pojęcia, jak potoczą się irańskie protesty; byłoby niesprawiedliwe winić ich za widoczną niezdolność Ruchu Zielonych do wysadzenia Ahmadineżada. Kiedy przyszłość irańskiej demokracji zależała od dobroci start-upu z Krzemowej Doliny , który wydawał się nieświadomy problemów geopolitycznych nękających świat, jaki mieli inny wybór, jak tylko interweniować? Biorąc pod uwagę stawkę, czyż nie jest niedorzeczne spierać się o gniewne artykuły redakcyjne w mołdawskich gazetach, które mogły się pojawić, nawet gdyby Departament Stanu pozostawał na uboczu? Wszystko to jest prawdą, o ile istnieją dowody na to, że sytuacja była rzeczywiście dramatyczna. Gdyby okazało się to niewystarczające lub niejednoznaczne, amerykańscy dyplomaci zasługują na coś więcej niż zwykłe lanie. Nie ma absolutnie żadnego usprawiedliwienia dla zmywania atmosfery ingerowania w wewnętrzne sprawy prywatnych firm lub zagranicznych rządów, podczas gdy w rzeczywistości zachodni decydenci stoją po prostu w kącie, marząc o demokracji i bełkocząc swoje najdziksze fantazje do otwartego mikrofonu. W większości przypadków takie „interwencje” nie naprawiają krzywd; zamiast tego zwykle stwarzają kilka własnych krzywd, stwarzając niepotrzebne ryzyko dla tych, którzy byli na tyle naiwni, by myśleć o rządzie USA jako o poważnym i niezawodnym partnerze. Amerykańscy eksperci chodzą na talk show; Irańscy blogerzy trafiają do więzienia. Śmiała prośba wysłana do Twittera przez Departament Stanu USA mogła być uzasadniona tylko pod warunkiem, że Twitter rzeczywiście odegrał kluczową rolę w irańskich niepokojach i że sprawa irańskiej demokracji zostałaby poważnie podważona, gdyby strona przeszła w tryb konserwacji przez kilka godzin. Nic z tego nie wydaje się mieć miejsca. Cyfrowe polowania na czarownice organizowane przez irański rząd mogły być skierowane na wyimaginowanych wrogów, stworzonych po części przez najgorsze ekscesy zachodnich mediów i pychę zachodnich decydentów. Do dziś pozostają dwie wątpliwości. Po pierwsze, ile osób w Iranie (w przeciwieństwie do osób z zewnątrz) tweetowało o protestach? Po drugie, czy Twitter rzeczywiście był używany jako kluczowe narzędzie do organizowania protestów, jak sugerowało wielu ekspertów, czy też jego znaczenie ograniczało się tylko do dzielenia się wiadomościami i zwiększania globalnej świadomości na temat tego, co się dzieje? Jeśli chodzi o pierwsze pytanie, dowody są w najlepszym przypadku niejednoznaczne. Rzeczywiście, w ciągu dwóch tygodni po wyborach pojawiło się wiele tweetów związanych z Iranem, ale nie można powiedzieć, ile z nich pochodziło z Iranu, w przeciwieństwie do, powiedzmy, jego liczącej trzy miliony osób diaspory, sympatyków Ruchu Zielonych gdzie indziej i prowokatorów lojalnych wobec irańskiego reżimu. Analiza przeprowadzona przez Sysomos, firmę zajmującą się analizą mediów społecznościowych, wykazała tylko 19 235 kont na Twitterze zarejestrowanych w Iranie (0,027 procent populacji) w przeddzień wyborów w 2009 roku. Ponieważ wielu sympatyków Ruchu Zielonych zaczęło zmieniać swój status na Twitterze na Teheran, aby zmylić irańskie władze, prawie niemożliwe stało się również stwierdzenie, czy ludzie rzekomo „tweetujący” z Iranu byli w Teheranie, czy, powiedzmy, w Los Angeles. Jednym z najbardziej aktywnych użytkowników Twittera dzielącym się wiadomościami o protestach, „oxfordgirl”, była irańska dziennikarka mieszkająca w angielskim hrabstwie Oxfordshire. Wykonała świetną robotę, ale tylko jako centrum informacyjne. Przemawiając na początku 2010 roku, Moeed Ahmad, dyrektor nowych mediów Al-Dżaziry, stwierdził, że weryfikacja faktów przez jego kanał podczas protestów może potwierdzić tylko sześćdziesiąt aktywnych kont na Twitterze w Teheranie, a liczba ta spadła do sześciu, gdy władze irańskie rozprawiły się z nimi. w komunikacji online. Nie oznacza to zaniżania ogólnego znaczenia wiadomości związanych z Iranem na Twitterze w pierwszym tygodniu protestów; badanie przeprowadzone przez Pew Research Center wykazało, że 98 procent wszystkich najpopularniejszych linków udostępnionych w tym okresie w witrynie było związanych z Iranem. Po prostu zdecydowana większość z nich nie była autorem ani retweetowana przez osoby z Iranu. Co do drugiego pytania, czy rzeczywiście Twitter był wykorzystywany do organizowania protestów, a nie tylko do ich nagłaśniania, jest jeszcze mniej pewności. Wiele osób mówiących w perskim i śledzących irańską blogosferę przez lata ma o wiele większe wątpliwości niż zewnętrzni obserwatorzy. Wybitny irański bloger i aktywista znany jako Vahid Online, który był w Teheranie podczas protestów, wątpi w słuszność tezy o rewolucji na Twitterze tylko dlatego, że niewielu Irańczyków tweetowało.

„Twitter nigdy nie stał się bardzo popularny w Iranie. [Ale] ponieważ świat obserwował Iran z takim [wielkim zainteresowaniem] w tamtych czasach, wielu ludzi było fałszywie przekonanych, że Irańczycy otrzymywali wiadomości również za pośrednictwem Twittera ”- mówi bloger. Twitter był używany do publikowania aktualnych informacji na temat czasu i miejsca protestów, ale nie jest jasne, czy robiono to systematycznie i czy faktycznie ściągało to nowe tłumy na ulice. Fakt, że Ruch Zielonych strategicznie wybrał Twittera – lub, jeśli o to chodzi, jakąkolwiek inną technologię internetową – jako swoje ulubione narzędzie komunikacji, jest najprawdopodobniej kolejnym mitem. Wręcz przeciwnie, irańska opozycja nie wydawała się dobrze zorganizowana, co może wyjaśniać, dlaczego ostatecznie upadła. „Od samego początku Ruch Zielonych nie został utworzony i nie posunął się naprzód [w zorganizowany sposób] – to nie było tak, że niektórzy podjęli decyzję i poinformowali innych. Kiedy chodziłeś po ulicach, w pracy, gdziekolwiek się wybierasz, ludzie rozmawiali o tym i wszyscy chcieli zareagować ”- mówi inny prominentny irański bloger Alireza Rezaei. Jednak Zachód nie miał halucynacji. Wysyłano tweety, a na ulicach gromadziły się tłumy. Nie musi to jednak oznaczać, że istniał związek przyczynowy między nimi. Ujmując to bardziej metaforycznie: jeśli drzewo spadnie w lesie i wszyscy o nim tweetują, być może to nie tweety je poruszyły. Poza tym miejsce i czas protestów nie były do ​​końca tajemnicą. Nie trzeba było korzystać z Internetu, aby zauważyć, że w środku Teheranu miał miejsce wielki publiczny protest. Dość dobrym wskaźnikiem były wściekłe klaksony stojących w korku samochodów. W zbiorowej euforii, która ogarnęła zachodnie media podczas wydarzeń w Iranie, głosy sprzeciwu – te, które kwestionowały dominujące konto, które podkreślało rolę Internetu w wzniecaniu protestów – zyskały znacznie mniejsze znaczenie niż te, które wiwatowały nad początkiem rewolucji na Twitterze. Annabelle Sreberny, profesor globalnych mediów i komunikacji w London’s School of Oriental and African Studies oraz ekspert od irańskich mediów, szybko odrzuciła Twittera jako kolejny szum – jednak jej głos zagubił się w pozostałej części komentarza uwielbiającego Twittera. „Twitter był ogromnie przereklamowany. . . . Nie argumentowałabym, że media społecznościowe naprawdę zmobilizowały samych Irańczyków ”- powiedziała Guardian. Hamid Tehrani, perski redaktor sieci blogerów Global Voices, był równie sceptyczny, spekulując, że hiperbola Twitter Revolution ujawnia więcej zachodnich fantazji dotyczących nowych mediów niż rzeczywistości w Iranie. „Zachód skupiał się nie na narodzie irańskim, ale na roli zachodniej technologii” – mówi Tehrani, dodając, że „Twitter był ważny w nagłaśnianiu tego, co się dzieje, ale jego rola była przeceniana”. Wielu innych członków irańskiej diaspory również uważało, że Twitter zyskuje dużo więcej uwagi, niż na to zasługiwał. Pięć dni po rozpoczęciu protestów Mehdi Yahyanejad, menadżer Balatarin, serwisu informacyjnego w języku perskim z siedzibą w Los Angeles, podobnego do Digg.com, powiedział Washington Post, że „wpływ Twittera na Iran jest zerowy. . . . Tutaj [w Stanach Zjednoczonych] jest dużo szumu, ale kiedy już spojrzysz. . . większość z nich to Amerykanie tweetujący między sobą ”. To, że Internet mógł mieć również negatywny wpływ na ruch protestacyjny, było kolejnym aspektem przeoczonym przez większość komentatorów medialnych. Wyjątkiem był Golnaz Esfandiari, irański korespondent Radia Wolna Europa, który pisząc na łamach „Foreign Policy” rok po wyborach w Iranie w 2009 roku, ubolewał nad „zgubnym współudziałem Twittera w rozpowszechnianiu plotek”. Esfandiari zauważył, że „na początku stłumienia powyborczego na Twitterze szybko rozeszła się pogłoska, że ​​helikoptery policyjne polewają protestujących kwasem i wrzątkiem. Rok później pozostaje tylko to: plotka ”. Esfandiari zauważyła również, że historia irańskiej aktywistki Saeedeha Pouraghayi – która została podobno aresztowana za skandowanie „Allah Akbar” na jej dachu, zgwałcona, oszpecona i zamordowana, stając się męczennikiem Ruchu Zielonych, który pojawiła się na Twitterze  okazała się być żartem. Pouraghayi pojawiła się później w audycji w irańskiej telewizji państwowej, mówiąc, że wyskoczyła z balkonu tej nocy, kiedy została aresztowana i pozostała nisko przez następne kilka miesięcy. Reformistyczna strona internetowa twierdziła później, że historia jej morderstwa została podana przez irański rząd w celu zdyskredytowania doniesień o innych gwałtach. Nie jest oczywiste, która strona bardziej zyskała na oszustwie i jego ujawnieniu, ale to jest dokładnie ten rodzaj historii, którą powinni zbadać zachodni dziennikarze.

Niestety, chcąc zobaczyć reżim Ahmadineżada zdany na łaskę tweetów, większość dziennikarzy wolała spojrzeć w drugą stronę i napisać optymistyczny tekst o emancypacyjnym charakterze rewolucji na Twitterze. Podczas gdy eksperci walczyli o czas antenowy, a blogerzy rywalizowali o gałki oczne, niewielu zadało sobie trud obalenia przesadzonych twierdzeń o sile Internetu. W rezultacie mit irańskiej rewolucji na Twitterze wkrótce dołączył do gigantycznego stosu innych miejskich mitów na temat Internetu ogromny potencjał obalenia dyktatorów. To wyjaśnia, jak niecały rok po irańskich protestach pisarz Newsweeka zebrał się na odwagę i ogłosił, że „bunty na Ukrainie, w Kirgistanie, Libanie, Birmie, Xinjiangu i Iranie nigdy nie miałyby miejsca bez internetu”. (Należy zauważyć, że Newsweek przepowiada rewolucję w Iranie przez Internet od 1995 roku, kiedy opublikował artykuł zatytułowany pompatycznie „Chatrooms and Chadors”, w którym stwierdzono, że „jeśli maniacy komputerów mają rację, Iran stoi w obliczu największej rewolucji od ajatollaha Chomeiniego ”). O ile dziennikarze w pełni nie zaangażują się w badanie i, jeśli to konieczne, obalanie takich mitów, to drugie może mieć destrukcyjny wpływ na kształtowanie polityki. O ile przyjmuje się, że Twitter odegrał kluczową rolę w umożliwieniu irańskich protestów, wszelkie technologie, które umożliwiłyby Irańczykom dostęp do Twittera z pominięciem cenzury ich rządu, również mają wyjątkowe znaczenie. Kiedy gazeta taka jak Washington Post w jednym ze swoich artykułów redakcyjnych, jak to zrobiła w lipcu 2010 r., Argumentuje, że „inwestowanie w techniki omijania cenzury, takie jak te, które napędzały„ rewolucję na Twitterze ”w Teheranie w czerwcu Rok 2009 może mieć ogromny, wymierny wpływ ”, to znacznie słabszy argument, niż się wydaje na pierwszy rzut oka. (Twierdzenie The Post, że wpływ takich technologii może być „mierzalny”, również zasługuje na bliższą analizę.) Podobnie, należy zacząć martwić się prawdopodobnym znaczeniem Internetu w amerykańskiej polityce zagranicznej po wysłuchaniu Aleca Rossa, starszego doradcy ds. innowacji Hillary Clinton. , twierdzą, że „media społecznościowe odegrały kluczową rolę w organizowaniu [irańskich] protestów”, co nie różni się zbytnio od tego, co Andrew Sullivan ogłosił w czerwcu 2009 roku. Mimo że Ross powiedział to prawie rok po hipotetycznym przypuszczeniu Sullivana, nadal nie przytoczył żadnych dowodów na poparcie tego twierdzenia. (W lipcu 2010 roku Ross nieumyślnie ujawnił swoją hipokryzję, ogłaszając również, że „jest bardzo mało informacji na poparcie twierdzenia, że ​​Facebook lub Twitter lub wiadomości tekstowe spowodowały zamieszki lub mogą zainspirować powstanie”).

TOR: Jak pozostać niewidzialnym w głębokiej sieci – Wstęp

Internet jest niewątpliwie jednym z najbardziej niesamowitych osiągnięć w historii ludzkości. Światowa sieć komputerów na zawsze zmieniła nasze postrzeganie komunikacji. Zaczęło się jako innowacyjne rozwiązanie w laboratorium do wymiany wiadomości tekstowych. Możesz sobie to wyobrazić? We wczesnych stadiach Internet miał tylko kod i zwykły tekst; żadnych obrazów, żadnych multimediów, nic poza tekstem. Prawie 30 lat później sieć całkowicie się zmieniła w szybkim tempie. W dzisiejszych czasach Internet zawiera istotne informacje o każdym użytkowniku. Zawiera nasze dane osobowe, zdjęcia, filmy i wiele więcej. Dane, o których możesz nigdy nie zdawać sobie sprawy, że tworzyłeś, unoszą się w cyberprzestrzeni, gdy czytasz te strony, takie jak preferencje wyszukiwania, pliki cookie, najnowsze zapytania wyszukiwarek i tak dalej. Tak więc Internet jest niebezpieczny nie tylko ze względu na złośliwych użytkowników, którzy próbują przechwycić Twoje dane osobowe w swoich przewrotnych celach (takich jak kody PIN do kart kredytowych; ryzyko, którego nigdy nie powinieneś lekceważyć), ale także z powodu ciągłego „wycieku” danych osobowych ”, Które występuje podczas regularnego korzystania z usług online. Czy zgadzasz się z manipulowaniem Twoimi danymi osobowymi? Najprawdopodobniej nie. Jednak trudno jest całkowicie uciec od tej ekspozycji. W końcu za każdym razem, gdy używasz określonego narzędzia programowego lub aplikacji internetowej; musisz zgodzić się z warunkami użytkowania. W przeciwnym razie nie będziesz korzystać z tych usług. Dlatego otwierając przeglądarkę, aby surfować po Internecie, zgadzasz się na wykorzystanie Twoich danych osobowych po stronie programistów. Na przykład Google zbiera dane od nas wszystkich, od lokalizacji po osobiste wyszukiwania. Czy to nie brzmi dobrze? Na szczęście są tam bezpieczniejsze opcje; głównym kandydatem w sektorze wyszukiwarek jest DuckDuckGo: silnik wyszukiwania, który nie przechowuje danych osobowych użytkowników. Jednak, jak być może już wiesz, większość ludzi będzie nadal korzystać z Google. Czemu? Istnieją dwa ważne powody. Z jednej strony ryzyko nie jest tak duże i najprawdopodobniej ludzi to nie obchodzi. Większość z nas może od dłuższego czasu korzystać z globalnej sieci. Czy kiedykolwiek zostałeś zhakowany? A jeśli tak, to czy to była twoja wina, czy po prostu natknąłeś się na boskiego hakera, który złamał wszystkie protokoły bezpieczeństwa, aż do pojawienia się zielonkawego komunikatu „Przyznano dostęp” na czarnym ekranie? Jeśli myślisz, że to drugie; być może oglądałeś zbyt wiele filmów o nieistniejących ekspertach od cyber-hakowania. Spójrzmy na chwilę z rzeczywistością, zanim wznowimy bieg wpisów. Tylko nieliczni, naprawdę niewielka mniejszość z nas, kiedykolwiek będzie narażona na zagrożenia internetowe. I nie, nie mówię o tej wiadomości, która pojawia się na twojej przeglądarce, twierdzi, że wirus zniszczy komputer, miasto i wszystkich mieszkańców, chyba że – przypadkowo – zapłacisz trochę pieniędzy. To tylko żart – obrzydliwy przy pierwszym spotkaniu. Omówimy, jak unikać tego typu sytuacji i jak sobie z nimi radzić, gdy się pojawią. W końcu pojawią się, dopóki będziesz kontynuować nawigację online. Tylko nieliczni z nas stracą pieniądze z powodu hakerów internetowych. A wśród tych niefortunnych większość z nich popełni poważny błąd – na przykład zapomni wylogować się z konta na Facebooku na publicznym komputerze. Czy to ci się przydarzyło? Mój przyjaciel poniósł konsekwencje takiego niewinnego błędu. Nie miało to poważnych konsekwencji, ale mogło. Tak jak w prawdziwym życiu, nigdy nie należy ujawniać danych osobowych w Internecie. Nigdy przenigdy. Więc jeśli zostałeś zhakowany, czy były to umiejętności hakera, czy Twoja „własna” wina? Nie próbuję nikogo winić; takie sytuacje się zdarzają. Celem naszym jest zilustrowanie technik stawania się ninja online: kimś, kto nawiguje i nie jest widziany. A przede wszystkim nauczysz się wielu strategii, które zebrałem przez lata, aby zachować bezpieczeństwo w Internecie. Ostatecznym narzędziem, które omówimy, jest The Onion Routine Project (TOR). Pierwotnie opracowany przez wojsko, The Onion Routine Project narodził się w Naval Research Laboratory. Na szczęście w dzisiejszych czasach to niesamowite narzędzie programowe jest regularnie używane; i jest dostępny dla każdego w Internecie. Pozwala stać się niewidzialnym podczas codziennej nawigacji. W związku z tym TOR będzie pomocny w zmniejszaniu ryzyka wycieku danych do zera, o ile będziesz przestrzegać zalecanego użycia. Rozpocznijmy naszą podróż, aby stać się doświadczonymi nawigatorami i opracować zestaw praktyk zapewniających bezpieczeństwo Twoich danych osobowych.

Zaufanie W Cyberspace: Różne typy modeli bezpieczeństwa

Ogólne typy modeli bezpieczeństwa

Podobnie jak w przypadku wszystkich projektów zabezpieczeń, występuje pewien kompromis między wydajnością użytkownika a środkami bezpieczeństwa. Celem każdego projektu bezpieczeństwa jest zapewnienie maksymalnego bezpieczeństwa przy minimalnym wpływie na dostęp użytkowników i wydajność. Istnieje wiele środków bezpieczeństwa, takich jak szyfrowanie danych sieciowych, które nie ograniczają dostępu i wydajności. Z drugiej strony uciążliwe lub niepotrzebnie zbędne systemy weryfikacji i autoryzacji mogą udaremnić użytkowników i uniemożliwić dostęp do krytycznych zasobów sieciowych. W takich przypadkach należy dać pierwszeństwo pewnej wartości zaufania. Powinniśmy zrozumieć, że sieć jest narzędziem zaprojektowanym w celu zwiększenia produkcji. Jeśli wprowadzone środki bezpieczeństwa staną się zbyt kłopotliwe, w rzeczywistości wpłyną negatywnie na produktywność zamiast ją zwiększyć. W tym miejscu wspominamy, że sieci są wykorzystywane jako narzędzia produktywności i powinny być zaprojektowane w taki sposób, aby biznes dyktował politykę bezpieczeństwa. Polityka bezpieczeństwa nie powinna określać sposobu działania firmy. Ponieważ organizacje nieustannie podlegają zmianom, polityki bezpieczeństwa muszą być systematycznie aktualizowane, aby odzwierciedlały nowe kierunki działalności, zmiany technologiczne i alokacje zasobów. Istnieją trzy ogólne typy modeli bezpieczeństwa: otwarte, restrykcyjne i zamknięte.

LCD : Czym jest Lean Customer Development?

Być może słyszałeś o rozwoju klientów. Jaka jest więc różnica między „customer development” a „lean customer development”? Nazywam swoje podejście do rozwoju klienta „lean customer development”. Używam „lean” jako synonimu pragmatycznego, przystępnego i szybkiego. lean customer development stanowi sedno pomysłów Steve’a Blanka i przekształca je w prosty proces, który sprawdza się zarówno w przypadku start-upów, jak i firm o ugruntowanej pozycji. Lean customer development może być realizowane przez każdego, kto rozmawia z klientami lub potencjalnymi klientami. Działa niezależnie od tego, czy jesteś założycielem startupu bez produktu i klientów, czy też pracujesz w firmie o ugruntowanej pozycji, która ma wiele produktów i klientów. Teraz, gdy wyjaśniłem moje spojrzenie na rozwój klienta lean, od teraz zamierzam mówić po prostu o rozwoju klienta. Z mojego doświadczenia w wielu firmach i mentoringu startupów wynika, że ​​każda godzina spędzona na rozwoju klienta pozwoliła zaoszczędzić 5, 10 lub nawet więcej godzin na pisanie, kodowanie i projektowanie. To nawet nie obejmuje trudniejszych do zmierzenia kosztów, takich jak koszt alternatywny, rosnąca lawinowo złożoność kodu i obniżające morale zespołu wynikające z ciężkiej pracy nad funkcjami, których nikt nie używa. Rozwój klienta zaczyna się od zmiany sposobu myślenia. Zamiast zakładać, że Twoje pomysły i intuicje są poprawne i podejmować się rozwoju produktu, będziesz aktywnie próbował przebijać się w swoich pomysłach, udowodnić, że się mylisz i unieważnić swoje hipotezy. Każda hipoteza, którą unieważnisz w rozmowach z potencjalnymi klientami, zapobiega marnowaniu czasu na budowanie produktu, którego nikt nie kupi. Lean customer development odbywa się w pięciu krokach:

  • Formułowanie hipotezy
  • Znajdowanie potencjalnych klientów do rozmowy
  • Zadawanie właściwych pytań
  • Zrozumienie odpowiedzi
  • Zastanawianie się, co zbudować, aby się dalej uczyć

Jeśli twoja hipoteza jest błędna lub nawet częściowo błędna, chcesz się szybko dowiedzieć. Jeśli nie możesz znaleźć klientów, modyfikujesz swoją hipotezę. Jeśli klienci zaprzeczają Twoim przypuszczeniom, modyfikujesz swoją hipotezę. Te poprawki kursów doprowadzą do zweryfikowania pomysłu, o którym wiesz, że klienci chcą i są gotowi zapłacić.