Warum kommt es so oft zu Datenschutzverletzungen?

Die Nachrichten sind vollgepackt mit Berichten über riesige Datenschutzverletzungen. Eine kurze Umfrage der letzten Jahre ergab eine Vielzahl schädlicher Datenschutzverletzungen, die alles von Kreditkarten (Target) bis hin zu Sozialversicherungsnummern, Arbeitsverlauf (OPM-Verletzung) und Kreditkartennummern (Experian) offenlegten. Ein interessierter Beobachter fragt sich vielleicht, wie sehr diese Unternehmen versuchen, Ihre Daten zu schützen.

Wenn Sie fragen, werden Sie feststellen, dass Unternehmen alles tun, um ihre Systeme zu schützen. Ein großer Angriff kostet viel Geld und mindert das Vertrauen der Kunden.

Die Sicherung von Computersystemen ist jedoch radikal schwierig. Wenn Sie den Mörtel auf einem einzelnen Ziegel vergessen, wird Ihr Haus wahrscheinlich nicht einstürzen. Aber in der Computersicherheit passiert genau das.

Sicherheit ist kompliziert

Die Komplexität von Sicherheitssystemen kann für Laien überraschend sein. Wenn es nur einen großen „Hackers Off“-Schalter gäbe.

Obwohl sich kein gebildeter Mensch vorstellen kann, dass Sicherheit so einfach ist, ist der wahre Grad der Komplexität schwer zu erfassen. Millionen von Codezeilen zur Beschreibung von Tausenden von Funktionen arbeiten in wenigen Frameworks und interagieren mit einer enormen Bandbreite komplementärer Systeme. Selbst wenn sie perfekt codiert sind, stellt jede dieser Zeilen, Funktionen, Frameworks und Verbindungen eine potenzielle Sicherheitslücke oder einen „Angriffsvektor“ dar, der ausgenutzt werden kann.

In der Sicherheit wird die Summe der Kompromissmöglichkeiten als „Angriffsfläche“ bezeichnet. Selbst wenn Anwendungen die sensibelsten Daten enthalten, ist ihre Angriffsfläche erschreckend enorm. Die Komplexität moderner Anwendungen verbietet jede andere Realität.

Open Source ist ein Risiko

wie-sicherheitsverletzungen-open-source passieren

Ein Großteil des Internets läuft auf Open-Source-Software. Diese Software wird von Freiwilligen gewartet, es gibt keine formalen Regeln für die Codeüberprüfung, die über die von ihnen selbst gesetzten hinausgehen. Die Pläne basieren auf der Verfügbarkeit von unbezahlten Mitgliedern, ihrem Fachwissen und ihren Interessen.

Einerseits ist Open Source unverzichtbar. Wir können nicht jeden Coder das Rad neu sichern lassen. Und wirklich, die Leute, die die banalen Open-Source-Projekte bauen und pflegen, die das Internet unterstützen, verdienen es, heiliggesprochen zu werden. Aber die ehrenamtliche Basis vieler Open-Source-Projekte bedeutet, dass die blinde Erwartung von Sicherheit und Interoperabilität ein ernsthaftes Risiko darstellt.

Während wichtige Projekte oft finanzielle Unterstützung von Unternehmen erhalten, ist diese Unterstützung im Vergleich zu der Arbeit, die erforderlich ist, um das Projekt sicher zu halten, oft unzureichend. Suchen Sie nicht weiter als Heartbleed, die enorme SSL-Sicherheitslücke, die vor ihrer Entdeckung ein Jahrzehnt lang bestand.

Da die meisten Sicherheitssysteme auf Open-Source-Software laufen, besteht immer die Möglichkeit, dass ein versteckter, aber verheerender Fehler in Ihrem bevorzugten Open-Source-Framework lauert.

Verwandt :  Senden Sie eine Nachricht, um jemandem mitzuteilen, warum Sie anrufen

Hacker müssen nur einmal gewinnen

wie-sicherheitsverletzungen-hacker-einbrecher passieren

In der Welt der digitalen Sicherheit gibt es einen Ausdruck: Programmierer müssen jedes Mal gewinnen, Hacker jedoch nur einmal. Ein einziger Riss in der Rüstung ist alles, was erforderlich ist, um eine Datenbank zu kompromittieren.

Manchmal ist dieser Riss das Ergebnis davon, dass ein Entwickler eine Abkürzung nimmt oder nachlässig ist. Manchmal ist es das Ergebnis eines unbekannten Zero-Day-Angriffs. So vorsichtig ein Entwickler auch sein mag, es ist eine dumme Aufgabe, sich vorzustellen, Sie hätten jede Sicherheitslücke gepatcht.

Das Deklarieren eines Schlosses als „pickproof“ ist der schnellste Weg, um herauszufinden, wie optimistisch Ihre Schlossdesigner waren. Computersysteme sind nicht anders. Kein System ist unhackbar. Es hängt nur von den verfügbaren Ressourcen ab.

Solange Menschen in jedem Stadium des Systems, vom Entwurf bis zur Ausführung, vorhanden sind, kann das System untergraben werden.

Balance zwischen Komfort und Sicherheit

wie-sicherheitsverletzungen-vorkommen-daumenabdruck-biometrie

Sicherheit ist immer ein Gleichgewicht zwischen Komfort und Sicherheit. Ein perfekt geschütztes System kann niemals verwendet werden. Je sicherer ein System ist, desto schwieriger ist es zu bedienen. Dies ist eine grundlegende Wahrheit des Systemdesigns.

Sicherheit funktioniert durch das Aufwerfen von Straßensperren, die überwunden werden müssen. Keine Straßensperre, die es wert ist, ausgeführt zu werden, kann null Zeit in Anspruch nehmen. Je höher also die Sicherheit eines Systems ist, desto weniger brauchbar ist es.

Das bescheidene Passwort ist das perfekte Beispiel für diese sich ergänzenden Eigenschaften in Aktion.

Man könnte sagen, je länger das Passwort ist, desto schwieriger ist es mit Brute Force zu knacken, also lange Passwörter für alle, oder? Aber Passwörter sind ein klassisches zweischneidiges Schwert. Längere Passwörter sind schwerer zu knacken, aber auch schwerer zu merken. Jetzt werden frustrierte Benutzer ihre Anmeldeinformationen duplizieren und ihre Logins aufschreiben. Ich meine, was für ein zwielichtiger Charakter würde sich die geheime Note unter Debras Arbeitstastatur ansehen?

Angreifer müssen sich keine Sorgen um das Knacken von Passwörtern machen. Sie müssen nur eine Haftnotiz auf dem Monitor des stellvertretenden (für den) Regionalmanagers finden und haben den gewünschten Zugriff. Nicht, dass Dwight jemals so nachlässig wäre.

Wir haben ein Gleichgewicht zwischen Sicherheit und Komfort, um unsere Systeme nutzbar und sicher zu halten. Das bedeutet, dass jedes System auf die eine oder andere Weise unsicher ist. Hacker müssen nur ein winziges Loch finden und sich hineinschleichen.

Fazit: So funktioniert eine Datenschutzverletzung

wie-sicherheitsverletzungen-passieren-gehackter-kopf

Das bestimmende Merkmal eines Hackerangriffs ist die Täuschung auf Systemebene. Auf die eine oder andere Weise täuschen Sie einen Teil eines Sicherheitssystems zur Zusammenarbeit gegen sein Design. Ob ein Angreifer einen menschlichen Wachmann dazu überredet, sie an einen sicheren Ort zu lassen oder die Sicherheitsprotokolle auf einem Server zu unterlaufen, es kann als „Hack“ bezeichnet werden.

Verwandt :  So richten Sie ein VPN auf Google TV ein

Die Angriffsvielfalt „in the wild“ ist außergewöhnlich, so dass jede Zusammenfassung nur einen groben Überblick bieten kann, bevor auf die Details einzelner Angriffe abgeschweift wird. Zumindest muss ein angehender Hacker das System lernen, das er angreift.

Sobald eine Schwachstelle entdeckt wird, kann sie ausgenutzt werden. Aus praktischer Sicht könnte ein Angreifer nach offenen Ports auf einem Server suchen, um herauszufinden, welche Dienste ein Gerät in welcher Version ausführt. Korrelieren Sie dies mit bekannten Schwachstellen, und Sie werden meistens praktikable Angriffsvektoren finden. Oft ist es ein Tod durch tausend Schnitte: kleine Schwachstellen, die aneinander gekettet sind, um Zugang zu erhalten. Wenn das nicht funktioniert, gibt es Passwortangriffe, Pretexting, Social Engineering, Fälschung von Anmeldeinformationen… die Liste wächst jeden Tag.

Sobald eine Schwachstelle entdeckt wird, kann der Hacker sie ausnutzen und sich unbefugten Zugriff verschaffen. Mit diesem unbefugten Zugriff exfiltrieren sie Daten.

Und so kommt es ständig zu Datenschutzverletzungen.

Moyens Staff
Moyens I/O-Personal. motivierte Sie und gab Ratschläge zu Technologie, persönlicher Entwicklung, Lebensstil und Strategien, die Ihnen helfen werden.