Come convincere le persone comuni che la sicurezza conta?

Francamente, credo che l'unico modo per ottenerlo sia offrire altra scelta - o almeno rendere la cosa giusta molto più facile delle alternative. Tutti i punti che sollevate mettono a carico dell'utente un aspetto corretto (per quanto piccolo) di sicurezza delle informazioni: gli utenti non sono per la maggior parte esperti di sicurezza delle informazioni. Sono muratori, ricercatori di fisica o responsabili di progetto: dovremmo lasciarli andare avanti con la posa di mattoni, o ricercare la fisica o gestire progetti. Queste sono le cose in cui loro sono esperti: noi dovremmo fare la sicurezza per loro.

Per scegliere un esempio, "non fare clic sui link di cui non si fida". Come dovrebbe un assistente amministrativo, ad esempio, decidere se un collegamento è affidabile? Guarda il record WHOIS per il dominio (avendo assicurato che il loro DNS è stato risolto attraverso un canale 'fidato')? Esaminare i dettagli del certificato SSL? Telefona al webmaster e verifica l'impronta digitale chiave? Solo, perché si fida del numero di telefono, della rete telefonica, della persona dall'altra parte del telefono ... È una posizione ridicola dare alla gente collegamenti ipertestuali che possono puntare ovunque e dire a loro di fare un giudizio sull'uso dei collegamenti ipertestuali.

Quindi potrei essere indaffarato, ma suggerirò un'alternativa? Sì: smettere di usare la retrocompatibilità o familiarità con il flusso di lavoro esistente per giustificare l'uso continuato di sistemi danneggiati. Per indirizzare l'esempio del link fidato, abbiamo due problemi:

1. non possiamo identificare tutti i siti web in modo affidabile perché non tutti hanno dati di identificazione, che attualmente è il certificato SSL.
2. non ci fidiamo necessariamente delle persone che ci dicono di fidarci dei titolari di certificati SSL

Il punto 1 può essere facilmente indirizzato, se esteso,

Il punto 2 è più difficile: da un punto di vista tecnologico, puoi immaginare di emettere più certificati da più autorità, ma poi devi avere l'interfaccia utente per esaminare e valutare più certificati; che schifo. Oppure puoi immaginare un modello di "rete di fiducia" in cui le persone contraddistinguono le chiavi dai siti di cui si fidano e dalle persone di cui si fidano e così via; ma ora siamo tornati nella stessa posizione in cui eravamo prima, dove dobbiamo sapere a chi fidarci (questo è fondamentalmente ciò che Moxie Marlinspike ha implementato in Convergence ). Oppure puoi adottare l'approccio degli attuali strumenti di filtro web e, anche se non ti fidi di un fornitore che ti dica chi è bravo, ti fidi abbastanza per dichiarare che alcuni siti sono decisamente pessimi.

Questa descrizione approssimativa si adatta a ciò che il team SDL di Microsoft ha chiamato UI di sicurezza NEAT: l'interfaccia dovrebbe essere Necessario, spiegato, attuabile e testato . Confrontalo con l'interfaccia utente corrente per i siti Web attendibili: ottieni l'interfaccia (l'icona del lucchetto) quando il trust è OK, cioè quando non è Necessario. Facendo clic su questo di solito consente di vedere i dettagli del certificato SSL, ma qualcuno (e qualcuno dovrebbe) dovrebbe spiegare che cosa significano tutti i campi di un certificato SSL per l'utente? Non spiegato. Inoltre, la maggior parte dei browser ti impedisce di accedere a siti con certificati ovviamente non funzionanti, quindi in molti casi l'interfaccia utente non è utilizzabile.

Il punto è che se l'interfaccia utente fosse NEAT, allora sarebbe diventato più prezioso: gli utenti vedrebbero l'interfaccia utente al punto che loro (non abbiamo ) bisogno di prendere una decisione; gli avrebbero detto le informazioni di supporto relative alla loro decisione; la loro decisione avrebbe un risultato significativo; e vorremmo sapere come reagiscono in condizioni sia benigne che ostili.

Sono praticamente d'accordo con Graham, la sicurezza in questi giorni è troppo importante per essere lasciata ai profani o anche ai programmatori stessi. È meglio avere un team dedicato che garantisca la conformità agli standard, compresi quelli che potrebbero influire sul lato utente delle operazioni.

Su quelle righe:

• Piuttosto dicendo all'utente di usare HTTPS quando disponibile, il programma dovrebbe scegliere se HTTPS se possibile e disabilitarlo dovrebbe essere abbastanza complesso da demotivare un laico. (Ricordo una famosa organizzazione che offre "opt-in" agli utenti per HTTPS piuttosto che applicarla.: P)
• La maggior parte dei software offre l'aggiornamento automatico. Detto questo, ad alcune persone non piacciono i "software nossy" che fanno cose al di là delle loro conoscenze, in particolare connettersi a Internet. In tale scenario, diventa quindi fondamentale che ogni versione di per sé sia relativamente sicura.
• Anche la gestione delle sessioni è un aspetto importante il cui utilizzo, nel data mining di oggi e nei tempi di annuncio mirati, è spesso in conflitto con gli obiettivi di sicurezza. Un sito potrebbe voler sostenere una sessione, tenere traccia delle attività degli utenti e raccogliere dati sui siti web dei partner come fanno molti siti di social network. Ma una sessione più lunga / sostenuta implica un maggiore rischio per la sicurezza. Per affrontare questo problema c'è un buon approccio nel chiedere di nuovo la password solo quando l'utente visita il sito dopo un determinato periodo di tempo, attività su altri siti esterni o accessi tramite schede / finestre più recenti.
• Analogamente, anche il filtro dei contenuti deve essere curato da, se non dagli sviluppatori del contenuto, quindi dall'host che porta il contenuto all'utente. Ad esempio: l'anti-spam può essere implementato dal tuo mail-provider, ma deve anche essere implementato nel tuo software di posta come Thunderbird o Outlook, il rilevamento dei link nei browser ecc.

La maggior parte degli utenti non diventa fantasiosa mentre usa il software, generalmente seguono un modello semplice. Questo può essere usato a vantaggio della sicurezza o al suo svantaggio!

La mia esperienza è nella media per cui Joe si preoccupa per la sicurezza - a nessuno di questo sito è stato chiesto da qualcuno al di fuori dell'industria informatica quale software antivirus sia il migliore? Sto suggerendo una domanda posta al di là di un finto tentativo di trovare un terreno comune con te, cioè una domanda diretta che indica chiaramente che vorrebbero ascoltare ciò che pensi di poter fare per migliorare la loro situazione.

Forse la persuasione non è ciò che è necessario.

Forse i modi più semplici per i medi Joe di raccogliere la conoscenza di Internet street sono ciò che è necessario.

Molti hanno già l'ansia della sicurezza radicata nel non sapere se sono infetti, posseduti o fanno cose stupide. Ciò significa che il potere degli incentivi è già in gioco. Semplicemente non sono consapevoli della pienezza dei pericoli a cui hai alluso; usare il Wi-Fi aperto a Starbucks è pazzesco *, ma questa è la conoscenza della strada.

Sapere perché è male camminare per quella strada o fare clic su quel link richiede lavoro - o devi provarlo o essere imparato da esso. Mi chiedo se ci sono scorciatoie per ottenere tale saggezza?

Penso che molte persone sarebbero felici di spendere un po 'di tempo in più facendo qualcosa di giusto (cioè sicuro) se sanno cosa significa.

Alexis Conran (co-autore / attore di The Real Hustle) ha fatto un paio di note chiave per le conferenze sulla sicurezza RSA - se ricordo bene, il suo consiglio era di rendersi più esperti di cose cattive per evitare di essere possedute. Immagino che sia un altro modo per dire di essere sicuro non essere stupido.

(* link è uno strumento proprietario di Starbucks Wi-Fi)

La risposta di Graham è assolutamente corretta quando si tratta di educare un utente a conoscere i rischi e come aiutarli a capire le decisioni che prendono o prendere la decisione lontano da loro laddove possibile.

Un problema correlato li sta persuadendo a preoccuparsi ... Il problema più grande qui è che non importa alla stragrande maggioranza delle persone, e non importa quello che diciamo o facciamo come industria ci sarà sempre quel gruppo chi non noterà mai l'impatto della sicurezza in un modo o nell'altro e ci ignorerà.

Penso che possiamo concentrarci su alcuni gruppi per cercare di aiutare a migliorare le cose a livello locale e sperare che ci sarà un elemento di flusso di base delle norme culturali da questi gruppi.

Considerazioni importanti:

• Attualmente Joe Public considera la sicurezza come qualcosa che gli impedisce di fare facilmente ciò che vuole fare su Internet o sul suo computer di casa.

• Il pubblico nel suo complesso non vuole imparare qualcosa di esoterico, specialmente quando potrebbe essere una cosa diversa da imparare l'anno prossimo.

• Il pubblico ha "imparato" che il furto di un gran numero di dettagli della carta di credito non ha alcun effetto su di essi. Guarda le cifre: le probabilità sono buone che gli individui non subiranno un impatto negativo.

Quindi, in che modo la sicurezza può essere un vantaggio per l'utente domestico medio? La semplice risposta è forse "Non può", così mentre odio l'idea di usare Fear come driver, dovremmo certamente essere in grado di usare la pubblicità intorno agli exploit principali per aiutare a educare.

L'unica eccezione che potrei pensare sarebbe:

• Le banche dovrebbero offrire tariffe migliori per le persone che utilizzano correttamente il software di sicurezza. Gli strumenti semplici e intuitivi includono cose come Rapporti del fiduciario - che sono correntemente utilizzati da un numero delle banche globali, ma non c'è un incentivo positivo per gli utenti a installarlo. Rendilo attraente dal punto di vista finanziario e otterrai un migliore assorbimento.

Esempi utili includono raid come il raid dell'FBI sulla casa di un DDoS (possibilmente innocente) ' er - a seconda di come vanno i casi giudiziari e la pubblicità, potrebbe accadere che, se non si protegge la macchina per prevenire l'infezione, si potrebbe essere ritenuti responsabili. Forse un colpo lungo, ma poi Gene Simmons è straordinariamente litigioso quindi chi lo sa?

Certamente uno studente non si preoccuperà, ma le aziende lo faranno - se vengono fatte irruzione dall'FBI.

Quindi, alcuni pensieri:

• i federali dovrebbero occuparsi delle società. Se si dimostra che l'azienda ospita una macchina su una botnet che ha attaccato un'org, la società dovrebbe imporre misure punitive - questo verrà istruito a livello aziendale.

• Gli ISP dovrebbero sorvegliare i loro TOS - e addebitare agli individui che li violano - questo può educare a livello individuale.

Posso anche suggerire un altro approccio (complementare naturalmente alle altre grandi idee):

Rendi la sicurezza "eccitante"!

Contrariamente ad altre direzioni aziendali, la sicurezza IT ha questo grande vantaggio intrinseco. Le persone vengono introdotte ai concetti di base (in modo giusto o sbagliato, questa è un'altra discussione ...) nella loro vita di tutti i giorni e specialmente nei momenti esaltanti del loro passatempo (fiction, film ecc.)

"The Real Hustle" menzionato nella domanda fa un ottimo lavoro in questa direzione, c'è ancora molto da fare ...

Vorrei che i professionisti della sicurezza facessero qualcosa in più rispetto ai "Programmi di sensibilizzazione sulla sicurezza aziendale". Noioso? Solo un altro tra le migliaia di appunti dell'ufficio?

Ecco la sfida: introdurre elementi interessanti, parlare di fallimenti spettacolari, essere parte educatrice, parte evangelista, scrittrice di parti (leggi "Zero Day"?) Rendila interessante per le persone e verranno. E poi mostrare loro i modi semplici che possono usare per migliorare le cose nella loro pratica quotidiana. Falli sentire che possono fare la differenza, renderli orgogliosi usano la crittografia come nei film di spionaggio.

Questo è un problema difficile poiché ha un nemico potente: la natura umana. È fiducia nella natura umana e l'esperienza quotidiana dimostra che la fiducia funziona. Puoi visitare migliaia di siti web senza problemi. Poi un giorno i server della tua console di gioco preferita vengono violati e la tua identità digitale è in pericolo. Ci sono circa un miliardo di persone online ma anche un attacco come quello di Sony ha ottenuto solo 70 milioni di loro. E gli attacchi su scala Sony sono rari.

Anche se la maggior parte delle aziende non considera seria la sicurezza. Se analizzi le violazioni della sicurezza negli ultimi anni, anche le aziende specializzate nella sicurezza informatica sono state colpite alla fine.

Quindi abbiamo una grande lacuna qui: la sicurezza dovrebbe essere importante ma non è così importante nella vita di tutti i giorni. Puoi avere un sito web insicuro online da anni senza essere colpito o puoi cliccare su un link e infettarti con un exploit zero-day che nessuno avrebbe potuto prevenire.

Quindi penso che persuadere la persona media sulla sicurezza sia l'approccio sbagliato. Proprio come nella vita reale, la sicurezza non dovrebbe essere un problema. Nessuna persona sana di mente indossa una giacca floccata prima di lasciare la casa nell'emisfero nord (beh, si ottiene la mia deriva). La sicurezza deve "funzionare" o non è sicurezza.

Non funziona perché i computer non sono abbastanza intelligenti e potenti. Il mio IDE è abbastanza potente da generare 1,5 milioni di righe di codice Java in meno di 4 secondi, ma è troppo stupido per dirmi che <input value="<%= dbField%>"> o "select * from table where name = '" + userInput + "'" è pericoloso.

I linguaggi di programmazione di oggi offrono funzionalità killer come lo stile CSS dell'interfaccia utente, ma finora nessuno si è preoccupato di creare un framework che rendesse più semplice scrivere codice sicuro invece di uno sicuro. Se inizi a scrivere applicazioni RCP Eclipse, circa 100 MB di codice byte Java vengono aggiunti all'applicazione e nessuno al mondo può dire quanti buchi di sicurezza questo codice potrebbe avere.

Se un firewall riceve un pacchetto, il più delle volte, non c'è modo di sapere da dove viene realmente e se contiene ciò che dovrebbe. È più importante instradare un pacchetto in tutto il mondo in meno di 3ns che assicurarsi che venga inviata un'email dal mittente.

IMO, a meno che questi problemi non siano risolti, è inutile educare John Doe alla sicurezza. Dovremmo iniziare a istruire gli specialisti, in primo luogo. Dopodiché, John Doe non dovrà più preoccuparsene.

[EDIT] Ho appena letto che alcune app Android trasmettano l'AuthToken per il protocollo ClientLogin di Google non crittografato . Ciò significa che chiunque può accedere a tutte le API di Google in cui hai un account: GMail, calendario, contatti, foto private su Picasa, il tuo blog su blogger.com.

Quindi, se Google non ottiene qualcosa di così fondamentale, che senso ha persuadere John Doe che la sicurezza è importante? : - (

Dobbiamo avere un linguaggio comune attorno al rischio - qualcosa che è per lo più intuitivo e può essere spiegato su un tovagliolo. Non credo che trasformeremo mai le persone in esperti in materia, ma almeno riusciremo a farle riflettere in modo critico su un problema una volta che ne saranno consapevoli.

C'è un buon articolo su alfabetizzazione al rischio che forma alcuni anni fa.

Suggerirei di applicare gamification all'attività. Come nota l'articolo di Wikipedia, la comunità black hat utilizza già giochi per migliorare i propri attacchi, in parte perché rende l'attività più divertente e promuove pratiche utili.

Un approccio è quello di educare gli utenti usando giochi che li aiutino a prendere coscienza delle minacce e delle vulnerabilità esistenti. È comune in molti giochi tradizionali rendere i giocatori consapevoli dei principi di sicurezza della guerra spesso arcani. Quali giochi ci sono nella navigazione nel rischioso mondo della sicurezza wifi, dei tentativi di phishing, dei pericoli dell'uso di software obsoleti e vulnerabili, dei rischi di avere una superficie di attacco più grande del necessario, ecc.? Perché non ci sono più?

Un altro approccio è per la comunità di implementazione generale - incorporare i principi di progettazione di giochi in interfacce utente software di software relativi alla sicurezza: "Gamification" di Sicurezza delle informazioni: applicazione dei concetti di progettazione di giochi sociali alla sicurezza delle informazioni | Skype Education

Le minacce potrebbero funzionare. Rendere gli utenti finanziariamente e / o giuridicamente responsabili per i problemi di sicurezza che creano. La Germania sta cercando di farlo con il proprietario di hotspot WiFi aperti (almeno così pretende questo articolo ma è una questione legale, quindi probabilmente pieno di sottigliezze oltre la mia comprensione).

Sfortunatamente, oggi le persone devono chiudere le loro porte e lo fanno. Ogni luogo che è diventato pubblico, oggi è dotato di allarmi, videosorveglianza e altri sistemi di sicurezza. Tale consapevolezza è arrivata alla gente attraverso il lungo tempo e il valore della proprietà persa e danneggiata. Lo stesso è qui, nel settore IT.

Ci sono persone normali a cui non interessa la sicurezza, semplicemente non sono interessate a questo, ma si preoccupano dei loro dati e fondi. Tutti chiudono le loro porte sulla serratura, queste sono le basi. Tuttavia, quando si deve installare il sistema di sicurezza nell'edificio, di solito chiamiamo gli specialisti. Sto parlando di trasparenza e facilità di sicurezza. L'utente medio non dovrebbe essere intimidito dal processo di creazione e supporto dell'ambiente sicuro. Idealmente, una volta che viene fornito un ambiente sicuro, l'utente dovrebbe semplicemente seguire semplici regole per non romperlo.

Quando si tratta delle domande, quali sono le regole allora, quale software installare e, in generale, come mantenere questo ambiente utopico ancora funzionante, spesso arriviamo alla disputa e alla polemica mentre non riceviamo risposta esaustiva. Dipende dai bisogni e dagli obiettivi dell'utente del computer, il ruolo che il computer sta assumendo. Ciò non significa che gli utenti domestici si preoccupino di meno degli operatori bancari. Ma ci sono i costi per l'efficacia, il feedback dalla quantità di tempo e denaro investiti. In ogni caso, consiglio generale è quello di supportare la cosiddetta CIA - riservatezza, integrità e disponibilità.

Spiega chiaramente cosa può succedere se le persone usano password stupide come 123456 o lasciano aperti i loro AP WiFi, e forniscono esempi e riferimenti.

es. anni di carcere e di avere una lista di molestatori sessuali perché il loro computer è stato utilizzato in remoto per scaricare il kiddie porn - che dovrebbe spaventare le persone normali.

Altrimenti, c'è estorsione, ricatto, furto d'identità, furto di conti bancari, scherno di amici su siti di social network, ex jealous o altri nemici che diffondono menzogne e voci per guadagno personale, vendetta, distruggendo relazioni e mettendo in pericolo vite umane ecc. ecc ecc. La lista continua.