Casa Securitywatch Un anno di rivelazioni innevate: cosa è cambiato?

Un anno di rivelazioni innevate: cosa è cambiato?

Video: One year of Snowden revelations (Novembre 2024)

Video: One year of Snowden revelations (Novembre 2024)
Anonim

Molto è cambiato nell'anno da quando l'ex appaltatore del governo Edward Snowden ha rubato documenti sensibili che descrivono in dettaglio il funzionamento interno della segreteria della National Security Agency. E molto rimane lo stesso.

Il Guardian ha pubblicato la prima serie di rivelazioni sul programma di sorveglianza di massa della National Security Agency esattamente un anno fa oggi. Snowden è ora in Russia con status di asilo e ha rilasciato diverse interviste nell'ultimo anno. Ha anche "parlato" alla conferenza South by Southwest di quest'anno tramite feed video. Il ritmo delle rivelazioni è rallentato negli ultimi due mesi, ma nessuno pensa che abbiamo finito.

"Mentre lo shock iniziale è diminuito, la fiducia fondamentale tra le imprese e i loro clienti è stata certamente messa in discussione dalle accuse di cooperazione tra agenzie governative e alcune società tecnologiche molto note", ha affermato Dick Williams, CEO di Webroot.

Crittografia, Now and Forever

La cosa più scioccante che è venuta fuori lo scorso anno non era il fatto che l'NSA stava raccogliendo dati (è un'agenzia segreta… cosa pensava che la gente stesse facendo?) Ma piuttosto la misura in cui l'agenzia accede a ciò che pensavamo era privato. E il fatto che esistesse un quadro giuridico per l'NSA di farlo senza infrangere alcuna legge.

"Ci ha aperto gli occhi sul fatto che questi servizi che tutti conosciamo e utilizziamo, come Google e Apple, sono sotto osservazione", ha dichiarato Mikko Hypponen, responsabile della ricerca di F-Secure.

Quindi cosa è cambiato? Le aziende e gli individui sono ora più reticenti nel fidarsi delle proprie informazioni a fornitori di servizi di terze parti. Le aziende hanno risposto con funzionalità di sicurezza dei dati in prodotti e servizi esistenti. "Vedremo sicuramente maggiore attenzione alla trasparenza tra i fornitori e i loro clienti, soprattutto in relazione alla privacy e alla sicurezza dei dati", ha affermato Williams.

I prodotti di crittografia come TrueCrypt, GnuPG e FileVault sono aumentati in popolarità nell'ultimo anno mentre gli utenti cercavano strumenti facili da usare per crittografare i file sui loro dispositivi. (Nota, se usi TrueCrypt, non è più supportato. È ora di cambiare!) Le persone stanno guardando servizi VPN, proxy e TOR per proteggere le loro attività online. Gli utenti e le aziende richiedono sempre più crittografia nei loro software, servizi cloud e hardware.

Queste sono tutte cose buone. Dobbiamo essere più esigenti su dove finiscono i nostri dati. "Nel corso dell'ultimo anno, abbiamo visto di nuovo la crittografia diventare di nuovo sexy", ha affermato Sol Cates, CSO di Vormetric.

Portare via poteri "simili a Dio"

Si discute molto sul fatto che Snowden fosse un patriota o un traditore. Per la maggior parte delle organizzazioni, "il vero contraccolpo" stava nel fatto che Snowden era in grado di accedere a queste informazioni private a causa di ciò che era, ha affermato Cates. Non c'erano hack stravaganti da rompere in database privati ​​o bypassare i firewall. La sua capacità di abbandonare i documenti - e il fatto che l'NSA non sia ancora sicuro di cosa abbia preso - evidenzia la gravità del furto di informazioni privilegiate.

"Lui [Snowden] stava semplicemente facendo il suo lavoro ma gli hanno dato" poteri divini "in cui farlo", ha detto Cates. Le organizzazioni devono eseguire correttamente la crittografia, determinare ragionevoli regole di controllo degli accessi e gestire correttamente le chiavi. Queste sono le lezioni che le aziende hanno appreso nell'ultimo anno. "Le organizzazioni stanno finalmente realizzando che i dati sono l'obiettivo", ha affermato Cates.

Un mare di cambiamenti

Google ha lavorato a vari progetti relativi alla crittografia nell'ultimo anno. Considerando le sue dimensioni e influenza, è davvero bello vedere l'azienda assumere un ruolo guida nei progetti relativi alla crittografia.

A marzo, il colosso della ricerca ha annunciato che tutto il traffico del data center era crittografato. Gmail utilizza anche HTTPS per proteggere la posta elettronica. Il mese scorso, Google ha annunciato Google Apps Message Encryption, una crittografia e-mail end-to-end basata su ZixCorp, per i clienti di Google Apps.

Questa settimana, la società ha rilasciato la versione alfa dell'estensione del browser Chrome end-to-end per crittografare i messaggi Gmail in transito. L'idea è che nessuno, nemmeno Google, sarebbe in grado di intercettare e leggere i messaggi e-mail e l'estensione "aiuterà a rendere un po 'più facile questo tipo di crittografia", ha scritto in un blog Stephan Somogyi, un product manager della sicurezza di Google. inviare.

Google da solo non può proteggere Internet, ma altre aziende stanno seguendo il suo esempio. Yahoo e Twitter hanno in corso i loro progetti, per esempio. Google ha anche pubblicato informazioni su come diversi provider di posta elettronica gestiscono la crittografia nel tentativo di far vergognare altre aziende a fare di più sulla sicurezza dei dati.

Mentre tutte le e-mail inviate da Gmail sono crittografate utilizzando il protocollo TLS (Transport Layer Security), solo il 65 percento della posta proveniente da altri client e-mail è crittografato. Solo il 50 percento delle e-mail inviate da altri provider è crittografato. Yahoo, AT&T, Yahoo / SBC Global, AOL e Craigslist hanno tassi di crittografia compresi tra il 99% e il 100% per le e-mail inviate a Gmail. E poi c'è Me.com, Comcast, MSN, Hotmail, Live e Mail.ru di Apple, che crittografano meno dell'1 percento delle e-mail inviate a Gmail.

Chiaramente alcune cose non sono cambiate tanto quanto vorremmo.

"Quando le persone hanno appreso delle rivelazioni, molti hanno affermato di non voler più archiviare i propri dati in grandi servizi statunitensi. Ma in pratica, non vi è stato alcun cambiamento massiccio tra i consumatori. Ci vogliono tempo e sforzi per abbandonare i vecchi servizi e iniziare nuovi ", ha detto Hypponen.

C'è ancora molto da fare per indurre gli utenti a pensare in modo più incentrato sulla sicurezza, ma quest'anno abbiamo compiuto alcuni progressi. Non è una brutta cosa.

Un anno di rivelazioni innevate: cosa è cambiato?