10 Dijital güvenlikte büyük fikirler

Uzun zaman önce, güvenlik haberleri, masaüstü bilgisayarlarda yayılan belirsiz güvenlik açıkları ve virüsler anlamına gelmiyordu. Ancak şimdi her yerdeki insanlar devlet kurumlarını gözetlemekten endişe duyuyorlar, Heartbleed kişisel verilerinin Web’de kaybolmasına ve mobil tehditlerin artmasına izin veriyor. Heck, Edward Snowden'in Ulusal Güvenlik Ajansı'nın yerel casusluk çabalarıyla ilgili yaptığı sızıntıların kapsamında, Pulitzer Ödüllerini bu yıl netleştirdi. Yaşamlarımız dijital cihazlar ve İnternet üzerinde daha fazla odaklandıkça, daha fazla insan güvenlikten endişe duyuyor ve haklı olarak böyle. Mesele şu, asıl meseleler nelerdir ve ana akım medyadan gelen ayın tadı sadece yutturmaca nedir?

Neyin önemli olduğuna dair sağlam bir genel bakış için, binlerce katılımcının RSA Konferansı için San Francisco'ya akın ettiği geçmiş Şubat ayına geri dönün. Bunlar arasında güvenlik ürünlerinin yaratıcıları ve en büyük güvenlik hikayelerinin bazılarını kırmış olan araştırmacılar vardı. Bu, türünün en büyük buluşmalarından biri ve RSAC'den gelen fikirlerin yılın geri kalanında dijital güvenlik üzerinde büyük etkisi olacak.

Snowden ve Güvenlik

İnsanlar ABD Hükümetinin herkesin söylediği her şeyi dinlediğini şakalar yapardı, ama artık kimse buna gülmüyor. Ulusal Güvenlik Ajansı ile RSA Güvenliği arasında iddia edilen anlaşma, artık doğrudan RSA şirketine bağlı olmayan konferans üzerinde bir solgunluk yarattı.

Şaşırtıcı bir şekilde, NSA bir kez daha bu yıl gösteri katında bir varlığa sahip olmaya karar verdi. Olmasalar bile, NSA'dan kaçınmak zordu. Bazı satıcılar, üzerinde ajansın logosu bulunan bardak altlıkları verirken, diğer insanlar da kamuya açık yazı tahtalarına keskin açıklamalar yazdılar. Bir satıcı görünüşte NSA standının yakınında bulunmaya itiraz ederken, bir diğeri Snowden ile ilgili döngüsel videolar yayınlama fırsatı buldu.

Bazı konuşmacılar sunumlarını protestoda çekti ve Trustycon adlı yarışmacı bir günlük bir etkinlik düzenledi. Bu, bazılarının farklı görmesine rağmen, gizlilik konularında farkındalık yaratmaya yardımcı olmaktı.

Çin kim?

Geçen yıl, herkesin yatağının altındaki öcü adam Çin'di. Endüstri içerdekilerin arasında duyulan korku, fikri mülkiyet haklarını çalmak ve onu satmak ya da Çinli rakiplere vermek, Çin'den devlet destekli ya da yalnız saldırganlardı. Sofistike Gelişmiş Kalıcı Tehditler raporlarının devamı ile uluslar arasında siber savaş tehdidi vardı, hepsi daha da gerçek oldu.

Bu yıl için hızlı ileri ve kaygılar daha yumuşak. Konuşmacılar "fikri mülkiyet hırsızlığı" ndan bahsetti, ancak arkasında kimin olacağını söyleme gereğini görmedi. Geçen yıl "ulus devlet" saldırılarından bahsedildiğinde neredeyse kesinlikle "Çin" anlamına geliyordu, ancak bu yıl kolayca "Amerika Birleşik Devletleri" anlamına gelebilirdi.

On Şey

Bu büyük hikayelerin dışında, bazı umut verici gelişmeler, yeni teknolojiler ve RSA'da denenmiş ve doğru tavsiyeler vardı. İlk ve en önemli? Yazılımınızı düzeltin. Geçmişte şifreleri taşımak isteyen birçok satıcı vardı, umarım yakında göreceğiz. Ayrıca, gelecek yılki programdan önce hepiniz okumayı umuyorum.

Bunlar güvenlik uzmanlarının uğraştığı büyük hikayelerden bazılarıydı, ancak sadece onlar değil. İşte şu anda güvenlikte olan ilk büyük fikirlerimiz.

1 10. Şifreleme İçinde Arka Kapılar

Ulusal Güvenlik Ajansı bu yılki konferansta herkesin aklındaydı ve geçen yılın en büyük güvenlik hikayesiydi. Ve RSA Konferansı, RSA Security firmasından ayrı bir varlık olmasına rağmen, RSA ile NSA arasında çok milyon dolarlık bir bağlantı olduğu iddiası sık sık tartışılan bir konuydu. RSA genel başkanı Art Coviello açılış konuşmasında iddialarını reddetti, ancak casus teşkilatında reform çağrısında bulundu. Geçtiğimiz yılın tam aksine, Çin ile ilgili korku, şifrelemenin düşündüğümüz kadar güvenli olamayacağına dair arka koltukta kaldı.



2 9. Buzzwords Killing Words

Bir kelime buzzword durumuna ulaştığında, yararlı bir şey ifade etmekten vazgeçer. Ne yazık ki, herkesin aynı kelimeleri kullandığı RSAC'da bunun gibi bir ton sözcük vardı, fakat kimse tanımı konusunda hemfikir değildi. Tehdit istihbaratı söz konusu olduğunda, uzlaşma göstergelerinden mi bahsediyoruz, yoksa mevcut verileri üçüncü taraf kaynaklarla zenginleştirmekten mi bahsediyoruz? "Yeni nesil" artık tam olarak ne anlama geliyor? Bu noktada, bir sonraki nesilde olmalıyız. Bu kadar çok ürün nasıl güvenlik devrimi habercisi olabilir? Endüstri artık ne vaat ettiğini bile biliyor mu?


Flickr kullanıcısı Soumyadeep Paul üzerinden görüntü



3 8. Ekmek Kızartma Makineleri, Arabalar ve Kahve Makineleri Atak Yaparken

Nesnelerin İnterneti bu yıl RSA Konferansı'na girdi ve herkes onları güvenceye alma konusunda endişeli. Kilit paket servisi - oldukça üzücü bir şekilde - ev aletleri, tıbbi cihazlar veya arabalar olsun, tüm cihazlarımızı korumaya henüz hazır değiliz. Öyle olsa bile, bazıları suçluların uzaktan kumandalı bir aracı kontrol etmeyi veya kaza yapmayı denemeyi düşünmediğini söyleyerek ilgili değildi. Suçluların Arabaları kullanan OnStar sunucuları gibi Nesneleri kullanan sunucuları tehlikeye atması ve onları paraya çevirmesi için suçluların "yukarı doğru" gitmesi daha muhtemel olurdu.


Nesnelerin İnterneti, daha fazla cihaz bağlandığında gittikçe daha fazla ürün yetiştireceğinden şüphe duymayacak. Heartbleed'in ardından araştırmacılar sadece sunucular hakkında değil, tüm bağlı cihazlardan endişe duyuyorlardı.



4 7. Herşeyi Şifrele

Güvenliğin nasıl geliştirileceğine dair herkesin cevabı - özellikle mobil güvenlik - şifreleme, şifreleme, şifreleme idi. Mobil uygulamalar İnternet çevresinde büyük miktarda bilgi taşıyor ve birçok geliştirici bu işlemleri şifrelemeyi seçerek saldırganlara ve ulus devletlere bolca bakacaklarını söylüyor. Yine NSA'ya dönüştüğünde, Co3 CTO Bruce Schneier, ajansın muhtemelen bir tür şifreleme yöntemi kırdığını, ancak büyük miktarda şifreli veri işleyemediğini belirtti. Etrafında uçuşan çok sayıda şifrelenmemiş bilginin veri toplamak isteyen herkes için çok kolay olduğunu söyledi. Şubat ayında, şifreleme konusundaki endişeler, NSA tarafından oluşturulan güvenlik açıkları ve Apple’ın SSL sıkıntılarını temel alıyordu. Heartbleed'in duyurusu, hala en iyi aletlerimizin hala mükemmel olmadığını belirten, sade bir hatırlatmadır.


Flickr kullanıcısı anonim hesap üzerinden görüntü

• 5 6. Gümüş Mermi Yoktur

  RSAC'deki sunumlar ve bireyler hakkında konuşmaya çok zaman harcadık, ancak etkinliğin bir fuar olduğunu ve fuar alanının alıcıları ürünlerinin en iyi ortamda olduğuna ikna etmek için çalışan satıcılarla dolu olduğunu unutmamalıyız. Şaşırtıcı bir şekilde, birçok güvenlik şirketi hala gümüş mermi fikrini zorluyordu - güvenlik sorunlarınızın tümü ve tümü için tek bir hizmet çözümü. Bu, geçen yılın saldırılar için çok sayıda yol bulunduğunu ve arkasındaki kimin ve neyin peşinde olduklarına bağlı olarak farklılık gösterebileceğini göstermesi nedeniyle biraz şaşırtıcı. HP'nin Kıdemli Kıdemli Başkan Yardımcısı Art Gilliland, şirketlerin yeni silahlar aramayı bırakıp, güvenlik konusunda daha bütüncül bir yaklaşım sergilemelerini önerdi. Gelişmeler listesinde en önemlisi? Bireylere yatırım yapın ve güvenlik eğitimini geliştirin.



6 5. Mobil AV Çalışmıyor

Daha iyi hale getirmek için Android ile birlikte çalışan güvenlik topluluğunu kutlarken, Google'ın Android Güvenliği Lider Mühendisi şimdiye kadar mobil güvenliği çok az gördü. Google’ın hedefinin sessiz, görünmez güvenlik sağlamak olduğunu söyledi ve güvenlik şirketlerinin dikkat çekmek ve satışları artırmak konusunda daha fazla olduğunu belirtti. viaForensics CEO'su ve kurucu ortağı Andrew Hoog, mobil cihazlarda geleneksel güvenlik modelleriyle de ilgilendi. Mobil işletim sistemlerinde sanal alan uygulamalarının uygulamaları korumak için iyi bir iş çıkardığını, ancak güvenlik uygulamalarının tehditlerle başa çıkma yeteneğini de sınırladığını belirtti. Onun çözümü? Güvenlik geliştiricilerinin kök ayrıcalıklarına erişmesine izin verin.


Her iki pozisyona da tam olarak katılmıyorum, ancak artan mobil tehditler, cihazların güvenliğini sağlamak için yeni yollar gerektiriyor. Kötü niyetli uygulamalara karşı korunma yeterli değildir ve güvenlik şirketlerinin mobil uygulamalarına ekledikleri araçlar yararlı olsa da, sonsuza dek yeterli olmaz.


Flickr kullanıcısı ile görüntü Tiago A. Pereira



7 4. Sürücü Koltuğunda Güvenlik

Güvenliğin kuruluşun DNA'sının bir parçası olması gerektiği ve güvenlik ekiplerinin krizlere veya yangın söndürme modunda her zaman nasıl tepki veremediği hakkında çok konuşuruz. Genel fikir birliği, güvenlik endişelerinin en başından itibaren ele alındığından emin olmak için saldırı yollarını kapatmak veya diğer ekiplerle bütünleşmek için daha iyi güvenlik uygulamalarına sahip olmak gibi tehditlerin önüne geçmek gibi görünüyor.



8 3. Güvenlikte Daha Fazla Kişiye İhtiyacımız Var

Sürekli duyduğumuz şeylerden biri güvenlik uzmanlarının yetersiz kalmasıydı. Geleneksel olarak güvenliği düşünmek zorunda kalmayan şirketler - verilerini korumak veya ürünlerinin güvende olduğundan emin olmak - şimdi deneyimli güvenlik uzmanları bulmakta zorlanıyorlar. Hükümet ajansları, saflarını doldurmak için en parlak bilgisayar korsanlarını çekmeye çalışıyor. Kısmen, güvenlik konusunda uzmanlaşmış yeteri kadar insanımız olmadığı için, şirketler de işe alım konusunda iyi bir iş yapmadıkları için bir beceri açığı var.


Teknolojide daha fazla kadına ve özellikle de bilgi güvenliğine ihtiyacımız var. RSAC'deki oturumlar, infosec'le ilgilenen kadınları teşvik etmek için destek yapıları oluşturmaya odaklandı, fakat aynı zamanda bazı başarılarını da vurguladı.



9 2. Sızdıran Uygulamalar Mobil Kötü Amaçlı Yazılımlardan Daha Kötü

Kötü amaçlı yazılımlara karşı savunma birçok mobil güvenlik şirketi için odak olmaya devam ediyor, ancak bu tek tehdit değil. RSAC konferansına katılan birçok katılımcı, sızdıran uygulamaların (yani, kullanıcıların kişisel verilerini şifreleme olmadan veya çok büyük miktarlarda ileten uygulamaların) kullanıcılar için çok daha büyük bir tehdit olduğunu belirtti. Mobil Tehdit Pazartesi kapsamındaki okuyucular için bu hiç şaşırtıcı değil. Bu yıl, tüketicilerin uygulamalarının gerçekte ne yaptığını görmelerine yardımcı olmak için viaProtect gibi yeni araçlar bekliyoruz. Bununla birlikte, birinin bir Android uygulamasını beş dakika içinde yırttığını, değiştirdiğini ve yeniden paketlediğini izlemek, kötü amaçlı yazılımın hala bir sorun olduğunu hatırlatır.


Flickr kullanıcısı Grotuk ile görüntü

• 10 1. Gözetim Uzaklaşmıyor

  Taze kesilen FBI direktörü James Comey, RSAC 2014 sunumunda iki şeyi açıkça ortaya koydu: FBI'ın siber tehditlerle mücadele etmek için işten işbirliğine ihtiyacı var, ancak bu elektronik izleme burada kalacak. Bir düzeyde, hepimiz bunu biliyoruz. Kötü adamlar e-posta ve diğer araçlarla iletişim kurarken casusların ve polislerin telefonlara dokunmalarını bekleyemeyiz. Bir toplum olarak, dijital iletişimin bir hedef ve belki de meşru bir iletişim olduğunu kabul etmeliyiz. Benzer şekilde, ABD istihbaratının etkileyici bir yuvarlak masa topluluğundaki panelistler, NSA’nın “hileli bir kurum” olmadığını ve diğer bütün devletlerin elektronik gözetimde bulunduğunu vurguladı. Ayrıca, aile içi casusluğun mahremiyetle daha iyi bir denge kurması gerektiğini ve insanların seçilen yetkililerin istihbarat operasyonları için makul bir reddedilebilirlik "kapak hikayesini" kullanmalarına izin vermemesi gerektiğini söylediler.