| 28 November 2019 — 12:01 GMT (12:01 GMT)
| Onderwerp: Security
In de leeftijd van toezicht, end-to-end encryptie beschermd moeten worden
Encryptie beschermt ons, dus misschien is het tijd voor ons om het te beschermen. Maar geen antwoord op de codering debat is zonder een nadeel.
Internet gebruikers zijn wordt geleerd om na te denken over online veiligheid op de verkeerde manier, die experts waarschuwen zou eigenlijk maken ze meer kwetsbaar voor hackers en cyberaanvallen.
Websites die willen demonstreren hun beveiligde referenties hiervoor meestal door middel van een hangslot-teken in de adresbalk, dat beoogt om de website is het gebruik van HTTPS-encryptie.
Het Hypertext Transfer Protocol Secure (HTTPS) is de meer beveiligde versie van het Hypertext Transfer Protocol (HTTP) gebruikt op het web te laden pagina ‘ s met behulp van hypertext-links – het is er voor het overdragen van informatie tussen apparaten, zodat gebruikers in te voeren en ontvangen van informatie.
ZIE ook: 10 tips voor nieuwe cybersecurity voors (gratis PDF)
HTTPS coderen dat informatie, die de overdracht van gevoelige gegevens zoals het inloggen op bankrekeningen, e-mails, of iets anders waarbij persoonlijke gegevens worden veilig worden overgebracht. Als u deze informatie hebt ingevoerd op een website die alleen met behulp van standaard HTTP, is er het risico dat de informatie kan zichtbaar zijn voor buitenstaanders, vooral als de informatie wordt overgebracht in de platte tekst.
Websites beveiligd met HTTPS in een groen hangslot in de URL-balk om aan te tonen dat de website veilig is. Het doel van dit is om te verzekeren dat de gebruiker dat de website veilig is en ze kunnen het ingeven van persoonlijke gegevens of bankgegevens nodig. Gebruikers hebben vaak te horen gekregen dat als ze dit zien in de adresbalk, dan is de website legitiem is en die ze kunnen vertrouwen.
Echter, als security-onderzoeker Scott Helme waarschuwde in zijn keynote op het SANS-Instituut en het Nationaal Cyber Security Centrum (NCSC) Cyber Bedreiging 19-conferentie in Londen, deze informatie is potentieel zo misleidend, omdat het niet moeilijk is voor cybercriminelen om te registreren HTTPs domeinen voor gebruik in phishing-aanvallen en andere hacking campagnes.
Maar omdat web gebruikers hebben verteld dat het hangslot is een teken van veiligheid, ze zijn potentieel kwetsbaar om slachtoffer van aanslagen.
“Dit is de reden waarom phishers gebruiken op een phishing-sites, omdat ze weten dat mensen die gebruik maken van de websites denk dat betekent dat het OK als u het niet,” zei Helme. “Het hangslot niet waarborgen van de veiligheid, het heeft nooit, dat is gewoon een misverstand van de interpretatie van wat dit eigenlijk betekent.”
In December 2017, een televisie reclame voor de Barclays Bank in het verenigd koninkrijk gewaarschuwd gebruikers te controleren voor een groene hangslot om ervoor te zorgen dat de website legitiem is. Er waren klachten dat dit advies is misleidend, want het zou mogelijk voor aanvallers om te exploiteren HTTPS voor hun eigen doeleinden.
De klacht werd gegrond verklaard door de Advertising Standards Authority, waarin wordt geconcludeerd dat het advies van Barclays was onjuist, omdat “het hangslot maatregel alleen niet kan zorgen voor de veiligheid”.
Want het blijkt, het is eigenlijk betrekkelijk eenvoudig voor criminelen voor het verwerven van HTTPS voor kwaadaardige websites om hen te helpen de kijk volstrekt legitiem. Kopen het kopen van een Transport Layer Security (TLS) certificaat, kunnen aanvallers het versleutelen van het verkeer op hun nep-website en maken het kijken legitiem. En omdat het verkeer versleuteld is, de browser kunnen worden misleid in het geloven van die website is veilig.
“Cybercriminelen de slag om HTTPS te gebruiken en hun vertrouwen kunnen scores hoger dan normale websites, ze echt zorgen over dit soort dingen,” zei James Lyne, CTO bij SANS Institute.
Dus door te vragen de gebruiker om op te merken wanneer er iets mis is, het gaat erom oneerlijke druk op hen, in het bijzonder, Helme betoogd, als het niet gebeuren in andere aspecten van het leven.
Hij wees naar auto ‘ s en hoe er is geen lampje dat vertelt de bestuurder alles OK is. Dat licht komt alleen op wanneer de bestuurder moet zich bewust zijn van een probleem, is er geen licht of melding gewoon om te laten zien dat alles werkt zoals verwacht – en dat model moet ook worden toegepast op het internet.
ZIE: EEN winnende strategie voor cybersecurity (ZDNet speciale rapport) | Download het rapport als PDF (TechRepublic)
“We moeten alleen bugging de gebruiker met nieuwe informatie wanneer er een probleem is, niet wanneer alles OK is, niet wanneer de verbinding is beveiligd. Het moet zijn dat de verbindingen veilig zijn en dat is de standaard en een niet-versleutelde verbinding is de uitzondering,” Helme uitgelegd.
“We moeten spiegelen het model, moeten we codering worden de standaard en niet-gecodeerde HTTP-om de uitzondering geworden, de zaak, die wij waarschuwen over – zoals het licht van de waarschuwing op uw auto, wat aangeeft dat er een probleem is,” voegde hij eraan toe.
Zelfs nu, encryptie wordt soms besproken alsof het een bonus bij het gebruik van het internet, wanneer het nodig heeft om de standaard manier van het doen van dingen op het internet, Helme uitgelegd.
“We moeten het tegenwoordig zo ingeburgerd en verankerd in alles wat we doen, dat het saai en we hoeven niet over praten, omdat het niet speciaal. Codering moet de saaie standaard die we niet nodig hebben om over te praten,” zei hij.
De security-industrie moet dus om de stap te zetten en helpen bij het oplossen van het probleem, Helme betoogd, omdat door dit te doen, het neemt de verantwoordelijkheid voor de beslissing of een website veilig is of niet, weg van de gebruiker – iets dat zal helpen om het internet veiliger te maken voor iedereen.
“We moeten nemen encryptie en maken de standaard, universeel – het moet overal,” zei hij, eraan toevoegend: “Het ontbreken van encryptie op het web is eigenlijk een bug. En wat we nu doen is niet het toevoegen van een nieuwe functie voor een verbetering of een nieuw ding: we gaan terug en de vaststelling van een fout die we maakten in het begin.”
In de tussentijd, het gaat om het blijven moeilijk te overtuigen van de internet gebruikers die iets wat ze hebben verteld dat betekent dat een website kan worden vertrouwd kan eigenlijk niet worden gebruikt als een indicator van de vraag of de pagina veilig is of niet.
“We hebben geslagen in de mensen dat het veilig is, gaan alleen naar websites met een hangslot. Maar nu blijkt dat een cybercrimineel kan gaan en kopen een hangslot voor een dollar. Dat draait het rond, hoe maak je unwire dat alles?” zei Paul Chichester, director operations bij het NCSC.
“Cybersecurity is een echt uitdagende discipline te werken. Als u denkt over het besturen van een auto en dat gedurende vele jaren rijden, je leert bepaalde dingen en het maakt over het algemeen niet veranderen, de praktijken houden u op veilig. Niemand vertelt je niet om te remmen meer,” voegde hij eraan toe.
ZIE: 10 grote giften voor de hacker in je leven
Om dat vast te stellen, de industrie heeft behoefte aan het verbeteren van de berichten, omdat cybersecurity kan ingewikkeld voor de gemiddelde gebruiker en het wijzigen van advies de tijd is niet van plan om te helpen, vooral als mensen zich vasthouden aan de eerste wat ze te horen kregen – net als het geloven in het hangslot houdt automatisch in dat de website veilig is.
“We zwenkbare in veel kortere tijd, en zelfs binnen onze gemeenschap, delen praktijken kan moeilijk zijn, vooral als u een nieuwe praktijk is niet zo eenvoudig over te brengen als de originele, want die ideeën stick”, zei Lyne. “Dat is waar de gemiddelde persoon heeft verloren redelijke verwachting – het is echt moeilijk”.
MEER OVER CYBERSECURITY
Dit is Tim Berners-Lee ‘s grote plan te slaan op het web van digitale dystopiaCybersecurity: Waarom meer gedaan moet worden om ouderen te helpen veilig onlineSecurity professionals leg uit ‘Black Friday’ best practices ‘ voor consumenten en bedrijven TechRepublicde Meeste Amerikanen niet kunnen herkennen, 2FA, HTTPS of private browsing
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
| 28 November 2019 — 12:01 GMT (12:01 GMT)
| Onderwerp: Security