Non è necessario chiudere la porta di casa a meno che tu non sia un ladro.

È la stessa idea sotto tutti gli aspetti rilevanti.

Ogni persona deve adottare misure ragionevoli per proteggere se stesso e la sua proprietà da coloro che potrebbero danneggiare lui o la sua proprietà, in conformità con il suo miglior giudizio sui rischi.

Acquisti una serratura e chiudi la porta di casa se vivi in ​​una città, vicino a centinaia di migliaia di altri. C'è una ragione per questo. Ed è lo stesso motivo per cui chiudi la tua porta d'ingresso a Internet.

Il mio primo pensiero è chiedere: "Hai qualcosa di prezioso che non vuoi che qualcun altro abbia?"

Se la risposta è Sì, segui con "Stai facendo qualcosa per proteggerlo?"

Da lì puoi suggerire modi per proteggere ciò che è prezioso (modellazione delle minacce, modellazione degli attacchi, ecc.).

Come dicono i diritti di Miranda: "qualsiasi cosa tu dica può e sarà usata contro di te in un tribunale". Subito dopo che la polizia ha finito di darti i diritti di Miranda, dice "ma se sei innocente, perché non parli con noi?". Ciò porta molte persone a essere condannate per crimini perché è effettivamente usato contro di loro in un tribunale. Questo è un ottimo video su YouTube che spiega in dettaglio perché non dovresti mai parlare con i poliziotti, soprattutto se sei innocente: http://www.youtube.com/watch?v=6wXkI4t7nuc

Uno dei crimini più comuni in America è la "cospirazione". Gli hacker spesso non vengono condannati per l'effettiva attività di hacking, ma per cospirazione. Questo perché la polizia ha registri delle chat di loro che discutono degli attacchi. Anche se non sei realmente coinvolto, non hai intenzione di partecipare all'attacco di pirateria informatica e hai anche cercato di scoraggiare i tuoi amici dal farlo, puoi essere condannato per "cospirazione".

In varie giurisdizioni potresti essere multato o chiudere l'attività se non proteggi i tuoi sistemi. Esempi specifici:

• Conservazione dei dati personali dei clienti. Nel Regno Unito, se non proteggi questi dati in modo appropriato puoi essere multato.
• Se gestisci i dati della carta di credito e non implementi una protezione adeguata, potresti scoprire che VISA / Mastercard ti proibirà di utilizzare i loro servizi.
• Se sei un registrante SEC e non segui le linee guida Sarbanes-Oxley, puoi essere multato o peggio.
• ecc ecc

Vale la pena leggere la domanda di @ Tate del novembre 2010 sugli argomenti per avviare conversazioni sulla sicurezza.

Esempi semplici:

1. dati commerciali riservati. Non è illegale (o se lo è, dovresti trovare un lavoro diverso), ma potrebbe fornire ai concorrenti un vantaggio sul mercato se la riservatezza è compromessa. Se è ancora troppo astratto, considera l'impatto personale dell'essere licenziato per essere la persona che ha divulgato i segreti commerciali.

2. furto di identità. Tu potresti non fare nulla di illegale, ma qualcun altro può farlo a tuo nome?

La sicurezza non è fare qualcosa di illegale, ma qualcun altro che fa qualcosa di illegale (che avrà un impatto su di te).

Se non cripti le tue telefonate, qualcuno potrebbe sapere di cosa si tratta tutto il tuo venditore stanno facendo e possono provare a rubare i tuoi clienti.Se non distruggi i tuoi documenti, qualcuno potrebbe usare tutte queste informazioni per lanciare un attacco di ingegneria sociale contro la tua azienda, per rubare dati, prototipi, progetti R&D ...

Ogni volta che qualcuno porta questa dichiarazione, rispondo sempre con: "Non puoi fidarti che tutte le persone nel mondo stanno seguendo le leggi".

In effetti, se tutti nel mondo sono cittadini rispettosi della legge, tu può lasciare la tua porta di casa aperta, ma come sappiamo ci sono criminali e molte altre persone che possono entrare nella tua porta di casa / dietro con vari motivi - chissà quale danno possono infliggere.

Perché i cittadini rispettosi della legge hanno bisogno di una sicurezza forte?

Gli individui devono proteggere le proprie informazioni per mantenere il controllo sulla propria vita.

Anche se questa affermazione sembra estrema, credo di poterla illustrare con alcuni semplici esempi.

Esempio 1:

Background: sei un ex alcolizzato. Anche se non bevi più alcol, hai la tendenza a essere generoso quando sei intossicato. Di solito porti con te anche una notevole quantità di denaro.

Mallory sa: sei un ex alcolizzato, sei generoso quando sei ubriaco e di solito porti con te una notevole quantità di denaro. Mallory sospetta anche che ci vorranno solo due o tre drink per ubriacarti.

Scenario: incontri alcuni amici Alice e Bob e Mallory, l'amica di Bob, in un ristorante che serve anche alcolici. Durante il tuo incontro Mallory prende la soda per il tavolo, aggiungendo segretamente una quantità non rilevabile di alcol alla tua soda. Alice e Bob se ne vanno. Mallory continua a raccontare una storia triste sul suo bisogno di denaro. Dai il denaro a Mallory e non la vedi o non senti mai più la sua voce.

Esempio 2:

Background: sei un dipendente pubblico. L'ufficio in cui lavori ha una politica rigorosa contro i dipendenti che fanno dichiarazioni pubbliche negative contro le leggi vigenti. Hai un bambino di 12 anni.

Scenario: un popolare sito di social networking ha una politica che non consente ai bambini di età inferiore a 13 anni di avere un proprio account. Decidi di condividere il tuo account di social network con tuo figlio fornendo la tua password. Tuo figlio utilizza il tuo account di social network per pubblicare pubblicamente commenti negativi su una particolare legge. I media locali scoprono il messaggio e scoprono il tuo vero nome e dove lavori. A causa della copertura mediatica, il tuo supervisore ritiene necessario interrompere il tuo impiego.

Esempio 3:

Background: tua nonna malata vive da sola e ha pochissime entrate. Per aiutarla a risparmiare sulle spese, sostituisci il suo servizio telefonico tradizionale con un servizio VoIP più economico. Tua nonna non ha un computer e fa tutte le sue operazioni bancarie per telefono.

Scenario: un avversario controlla le chiamate VoIP dal fornitore di servizi di tua nonna e prende di mira le chiamate destinate ai numeri di telefono della banca. Tua nonna effettua un trasferimento di routine dal suo conto di risparmio al suo conto corrente, fornendo all'agente di banca i numeri di conto e il codice di sicurezza. L'avversario registra la telefonata non crittografata di tua nonna e ottiene i suoi numeri di conto bancario e il codice di sicurezza. La prossima volta che tua nonna controlla lo stato dei suoi conti, hanno zero saldi e una carta di credito con un grande saldo è stata aperta a suo nome.

L'errore "niente da nascondere"

Ci sono tre componenti ben riconosciute della sicurezza: riservatezza (segretezza), integrità (non è stata danneggiata, modificata o manomessa) e disponibilità (puoi ottenere la cosa quando vuoi).

L'argomento "niente da nascondere" funziona solo contro la riservatezza. Ci sono casi ovvi in ​​cui un individuo desidera che un'informazione sia segreta e non facilmente accessibile a chiunque lo desideri. L'unico esempio più semplice sarebbe il numero PIN di una carta di credito. Chiunque abbia la tua carta di credito e conosca il tuo PIN può rubare i tuoi soldi.

Un altro esempio ovvio sono gli elementi di sicurezza tradizionali come i codici di allarme, il controllo dei numeri di conto e le combinazioni di serrature o casseforti. Quindi l'argomento del "niente da nascondere" è realmente mirare alle informazioni in attività che non hanno un valore intrinseco ovvio e in se stesse.

Prendiamo l'esempio di una conversazione con il cellulare.

La festa a sorpresa

Alice ha un amico Bob a cui piacciono le feste di compleanno a sorpresa. Gli altri amici di Bob includono Carl ed Evan. A Carl piace origliare le conversazioni sul cellulare. Alice chiama Evan per organizzare una festa di compleanno a sorpresa per Bob e Carl ascolta la conversazione. Prima del giorno della festa, Carl racconta a Bob i piani per la festa. Il valore di divertimento che Bob avrebbe avuto se Carl avesse tenuto segreta la festa è ora perso. La divulgazione del segreto tra Alice ed Evan da parte di Carl ha una conseguenza negativa per Bob che non era parte del segreto.

Gli argomenti tipici del "nulla da nascondere" di solito implicano che un segreto nasconda qualcosa di brutto (illegale, immorale o imbarazzante) e che la divulgazione del segreto ha conseguenze negative per almeno uno dei custodi del segreto . Alcuni argomenti "niente da nascondere" sostengono che la divulgazione di un segreto non danneggia nessuno. L'esempio precedente mostra che non è sempre così.

Ora diamo un'occhiata a un esempio di anonimato.

Anonimato

Alice è una persona ricca che siede nel consiglio dei consulenti di un'università. L'università è in difficoltà finanziarie ed è autorizzata ad accettare donazioni private. Alice vuole fare una donazione anonima all'università. Alice discute discretamente la possibilità di una donazione anonima con Bob l'erario dell'università. Carol è un altro membro del consiglio dell'università che cerca maliziosamente di ridurre l'influenza di Alice nel consiglio. Bob rivela la discussione di Alice a Carol. Carol dice agli altri membri del consiglio, esclusa Alice, che Alice sta tentando di ottenere il favore dell'erario all'insaputa del consiglio facendo una grossa donazione anonima. Di conseguenza, Alice fornisce un contributo pubblico molto minore.

L'argomento "niente da nascondere" contro l'anonimato implica che la persona che desidera rimanere anonima deve farlo perché l'azione che sta intraprendendo quando è anonimo è un'azione cattiva (illegale, immorale o imbarazzante). La donazione anonima di denaro a un'università bisognosa è difficile da definire come negativa. La divulgazione del segreto in questo caso ha danneggiato l'università e potenzialmente Alice. Questo esempio illustra anche parte del problema con un'apertura eccessiva, il potenziale per terze parti di interpretare male le informazioni o le azioni.

Forse tu potresti pensare di non avere nulla da nascondere e forse in realtà non hai fatto nulla di illegale, immorale o imbarazzante (grazie a @thisjosh per le categorie "qualcosa da nascondere" - buona spiegazione lì). Tuttavia, questa è la tua opinione . Le opinioni degli altri potrebbero non essere d'accordo. Quegli altri potrebbero essere in grado di sfruttare la tua mancanza di sicurezza per ottenere informazioni, per convincere le persone della stessa mente che hai fatto qualcosa di riprovevole. Ciò potrebbe, che tu sia d'accordo o meno con la loro posizione, avere un effetto negativo sulla tua vita che può variare da un piccolo inconveniente a una tragedia estrema.

Inoltre, anche se tutte le persone nel mondo sono attualmente d'accordo con la tua posizione su ciò che è legale, morale e piacevole, le opinioni cambiano - e così le leggi e, in alcuni casi, anche i codici etici ampiamente accettati. Ciò che fai ora che sembra essere giusto, equo e pienamente conforme ai tuoi diritti, può in seguito essere considerato un'offesa o un affronto agli altri. E questi altri possono trovarsi in tali posizioni di autorità per scrivere leggi contro queste cose, o influenzare l'opinione pubblica per opporsi ad esse. Quindi, la rivelazione delle tue azioni passate (o di quelle in corso, se continui secondo le tue convinzioni personali) potrebbe effettivamente portare all'imbarazzo o addirittura alla prigione o peggio.

La linea di fondo è questa. Se non pratichi una buona sicurezza nel proteggere la tua privacy e l'anonimato, ti stai effettivamente fidando che tutte le persone del mondo intero (amici, famiglia, governi e pubblico in generale - non importa quelli che potrebbe effettivamente essere fuori per prenderti), come esiste ora e come sarà in futuro , gestirà le tue informazioni personali e i dettagli dell'identità in un modo che si adatta ai tuoi migliori interessi . Ti fidi che il mondo lo faccia adesso? Credi che il mondo tra 20 anni sarà lo stesso?

Molte risposte sul motivo per cui la sicurezza si applica ai fornitori di servizi, tuttavia si applica a tutte le parti coinvolte in Internet.

Dovresti essere irreprensibile se, a causa di sicurezza inadeguata sul tuo PC, è rootkited e reclutato in un esercito di zombi? E se qualcuno utilizza il tuo router WiFi per effettuare transazioni fraudolente su un conto bancario online? AFAICS, sembra che tu lo sia nella maggior parte delle giurisdizioni.

Stranamente, la maggior parte delle giurisdizioni non vedrebbe che lasci un'arma carica in giro per casa e non in un armadietto chiuso a chiave.

Allo stesso modo, se gestisci un sito Web che non elabora i dati forniti dai clienti e il sito è compromesso, potrebbe essere utilizzato per scopi che non hai mai previsto.

E questo prima di considerare lo scenario di Martha Stewart.

Questo mostra un malinteso fondamentale in materia di sicurezza.

Mi aspetto che la sicurezza (di qualsiasi tipo) tenga le mie "cose" al sicuro da qualsiasi cosa al di fuori del confine definito (firewall, recinzione, porta). Dire che è usato solo per mantenere attività illegali all'interno è fritzl-eqsue.

Risposta polemica: metti l'avversario sulla difensiva ...

"Stai dicendo che dovremmo anche mettere tutte le nostre identità e informazioni finanziarie su Internet?"

Una risposta più morbida (per quando non vuoi danneggiare il rapporto personale / professionale) sarebbe farci uno scherzo (per ammorbidire il jab, per così dire) ...

"Sei il migliore amico di un ladro di identità!"

Oppure, quando esprimi il pensiero in modo più formale e con il minimo rischio di offesa (ad esempio, al tuo capo) ...

"Potremmo esporci a responsabilità significative se i nostri dati non sono completamente protetti utilizzando soluzioni di crittografia forti ma convenienti."

OPPURE

"Potremmo violare la legislazione in sospeso che impone l'uso della tecnologia di crittografia per proteggere i dati sensibili dei clienti."

Direi "rendi il resto di noi meno sicuri essendo un idiota", e prosegui facendo riferimento al fiasco di LastPass in cui hanno avuto una piccola violazione che non sarebbe stata una montagna di fagioli se tutti l'avessero fatto una password ragionevolmente complessa. Ma poiché alcuni bozos avevano parole del dizionario, eravamo tutti a (leggero) rischio.

Quindi se i malintenzionati hanno ottenuto il database e se gli utenti avevano password principali deboli, allora c'è la possibilità di farlo , per un certo periodo di tempo, un attacco di forza bruta. E quindi, sbagliando sul lato della cautela, i ragazzi di LastPass hanno detto, okay, cambia la tua password principale. Siamo spiacenti di averti causato l'inconveniente. Non devi cambiare nessuna delle altre password del tuo sito, solo l'unica password principale. In questo modo niente di ciò che potrebbe essere stato preso, se qualcosa lo è stato, e non sappiamo che qualcosa lo è stato, niente che potrebbe essere stato preso sarebbe ancora vulnerabile anche a un attacco di forza bruta.

Da: https://www.grc.com/sn/sn-301.htm

Invece di incollare l'intera trascrizione qui, se sei interessato, può leggere di più o ascoltare il podcast.

L'idea che ho tratto dalla discussione era che se tutti avessero una password principale complessa, l'attacco di forza bruta sarebbe irrealizzabile . Dal punto di vista della teoria crittografica, non ho la capacità di spiegare perché è così, ma se controlli il link, quell'informazione potrebbe essere lì.

Potresti chiedere: "Perché hai un codice PIN quando usi il tuo conto bancario, quando sarebbe sufficiente dire semplicemente il tuo nome e numero di conto?"

Risponderei che è lo stesso ragionamento (fallace) di:

"Non hai niente da nascondere, vero?"

che viene utilizzato dalla polizia per ingannare da te il tuo consenso per azioni illegali della polizia contro di te.

Guarda, ad esempio: Come rifiutare una ricerca della polizia

Come ha detto Edward Snowden ( Video): "Sostenere che non ti interessa il diritto alla privacy perché non hai nulla da nascondere non è diverso dal dire che non ti interessa sulla libertà di parola perché non hai niente da dire ".

In qualità di cittadino rispettoso della legge di solito fai accordi con altre persone in cui prometti di mantenere i segreti di altre persone.

La maggior parte dei dipendenti lascia che i propri dipendenti firmino moduli in cui il dipendente assume la responsabilità di proteggere determinati segreti dal proprio datore di lavoro. Quando il dipendente quindi non adempie a tale responsabilità gestendo le informazioni relative ai suoi datori di lavoro in modo non sicuro, non è un cittadino rispettoso della legge .

In Europa, il GDPR richiede che molte persone proteggano le informazioni di altre persone a cui hanno accesso. Potrebbe essere impossibile essere un cittadino rispettoso della legge in Europa senza preoccuparsi della sicurezza perché le disposizioni del GDPR sono facili da violare. Per molti professionisti negli Stati Uniti ci sono anche leggi che richiedono loro di proteggere le informazioni .

Oltre ai requisiti legali di segretezza, ci sono anche obblighi sociali sulla protezione dei segreti dei tuoi amici e familiari. Se violate i segreti dei vostri amici e della vostra famiglia potreste non violare la legge ma violate le norme etiche.