Fråga:
Hur interagerar jag med människor som är likgiltiga med informationssäkerhet?
tonychow0929
2018-06-30 17:16:39 UTC
view on stackexchange narkive permalink

Bakgrund: Jag är en amatörprogrammerare, skapar både stationära och mobila applikationer med måttligt djup bakgrund inom datavetenskap (från min erfarenhet och grundutbildning).

Många vänner till mig är inte t uppmärksamma (eller ännu värre, har ingen avsikt att veta något om) informationssäkerhet. Följande är några exempel på deras tro:

  1. Anslutning av offentligt Wi-Fi (faktiskt utan någon VPN-anslutning) är helt bra, eftersom många människor gör det.

  2. Återanvändning av lösenord är bra, och ingen kommer att stjäla dem (återanvända lösenord även på vanliga http-webbplatser).

  3. Att skriva ned lösenord i klartext är bra, och dolda versioner av lösenordsposter i klartext är säkra (till exempel att infoga många nya rader i en textfil och lägga till lösenorden i slutet).

  4. Ignorerar potentiella signaler, till exempel annonser / verktygsfält i webbläsare, startapplikationer etc. En av dem har inte vidtagit någon säkerhetsåtgärd trots att en serie transaktioner (även om de stoppats av banktekniker) gjordes av hennes kreditkort.

  5. Ignorerar säkerhetsåtgärder som är inbyggda i system, till exempel blind avstängning av antivirusprogram / accepterande av program som falska positiva, inmatning av administratörslösenord i godtycklig autentiseringsratt ogs, stänger av kryptering av hela disken (även om dess effekter på diskhastigheten är små) och beviljar behörigheter även till piratkopierad programvara.

Jag har ofta konflikter med dem, särskilt när deras handlingar kan skada mina säkerhetsåtgärder:

  1. De behandlar mig som en paranoid. De tror att oro är onödigt och skapar besvär.

  2. De gör vanligtvis ologiska motargument. När jag till exempel nämnde att program som kommer från godtyckliga källor inte bör öppnas. Nästa gång jag skrev ett spel (det är öppen källkod så att alla kan kontrollera det) och delade det på GitHub. En av dem utmanade mig att mitt spel inte skulle öppnas eftersom det kan vara skadligt. Han utmanade till och med om GitHub är en säker webbplats att besöka.

  3. De tror att eftersom nästan alla inte följer mina säkerhetsrutiner (igen, som att återanvända lösenord), om min säkerhet påståenden är sanna, många människor utsätts för säkerhetshot och eftersom de inte observerar något kommer de inte att bry sig om informationssäkerhet.

  4. Ibland kan de ”Tvinga” mig till situationer som kan skada min enhets säkerhet. Till exempel kan vissa av dem använda mina tillbehör utan att fråga mig i förväg, och eftersom jag måste använda dem efteråt måste jag oroa mig för den potentiella spridningen av skadligt innehåll.

  5. Vissa av dem har till och med en mycket dålig attityd när de tycker att deras tro är korrekt (och därmed behandlar mig på ett mycket oartigt sätt). När jag till exempel säger att andra inte kan använda mina tillbehör (åtminstone inte utan mitt föregående godkännande) säger de vanligtvis något som "det finns inget virus på min enhet" (kanske till och med i en sämre ton) och ignorerar frågor om informationssäkerhet.

Som programmerare är informationssäkerhet något som jag inte kan kompromissa med. Jag behöver klara av ovanstående situationer och hantera argument som andra inte undantar (även om vissa av dem är standardpraxis). All hjälp uppskattas.

Det enda exemplet på att de skadar din maskinsäkerhet verkar vara när de använder dina tillbehör trots att du säger till dem att de inte kan göra det. Finns det fler exempel i denna riktning, eller är det det enda verkliga fallet där deras handlingar kan skada dig? Om det senare kan det vara bättre att fråga "hur man får folk att sluta använda mina tillbehör", svaret på det är troligen __vägen__ lättare att implementera än att försöka få dem att förstå vikten av informationssäkerhet när de inte gör det vård.
Din vän som säger att något som delas på GitHub kan vara skadligt har en poäng: http://www.eweek.com/security/gentoo-linux-reports-hack-of-github-mirror-site
Vad är ditt mål här? För att hindra dem från att använda dina tillbehör? Att sluta ha dessa argument med sig (även om många verkar vara anstiftade av dig, i vilket fall "bara sluta")? Att "fixa" dem (som du verkar redan ha försökt utan framgång och att hjälpa dig med det handlar förmodligen mer om teknisk kunskap för att motverka deras argument än interpersonell skicklighet, det vill säga det är ämnet)?
Du borde hitta ett bra argument till nr 2 (du anger kod som kan vara osäker) :-) Du kan inte göra mer än att informera dem, för mycket nagg hjälper inte - och du är inte ansvarig för dem. Vilka tillbehör pratar du om?
Till att börja med anser du att säkerhet * är * onödig (konsekvenserna är ofta ganska begränsade) och * skapar * olägenheter, och att om du inte litar på Github i förväg, finns det ingen anledning att förvänta sig att Github är mer pålitlig än Sourceforge eller CNET eller "!!! MIKE'S FANTASTISKA GRATIS SPEL !!!".
Sex svar:
gnasher729
2018-06-30 19:14:05 UTC
view on stackexchange narkive permalink

Du har gjort dina saker. Om de inte lyssnar på dig är det allt. Du har inget ansvar för dem, och de uppskattar inte ens att du försöker hjälpa. Det är bättre för dig att sluta.

Om någon vill ansluta dina tillbehör till sin dator säger du "nej". Om du frågas varför säger du "Jag känner mig inte bekväm att ansluta mina tillbehör till någon slumpmässig dator". Om de utmanar dig, "det är min enhet, den blir inte inkopplad någonstans".

Men förutom det interagerar du med dessa människor som du skulle interagera med någon annan, nämn inte datasäkerhet för dem, och om de stöter på problem, säg inte "Jag sa till dig "eftersom det aldrig går bra, men inte heller frivilligt fixar några problem - att veta hur man undviker problem betyder inte att du vet hur du åtgärdar dem. Jag har en aning om hur man kan undvika bilkrascher; det betyder inte att jag vet hur man fixar bilar. Egentligen kan och bör du vägra att lösa eventuella problem - din ursäkt är att du försökte övertyga dem om att leva säkrare exakt för att du inte vet hur du åtgärdar problem som orsakas av något virus.

Och om du känner dig hämndlysten, ändra sedan "du vet inte hur du åtgärdar problem som orsakas av något virus" till "du tror att de har exakt vad de förtjänar". Detta skulle också vara en välsignelse, om du skulle få ett virus kan du använda detta för att stärka dina argument till dina vänner: nu känner du någon som personligen påverkades av dålig säkerhet.
@Imperator Du är fri att tänka det, men jag rekommenderar starkt att du säger det, annars kan vänner bli ex-vänner.
Det är en rättvis poäng. Fokusera på andra halvan av kommentaren, tack;)
Johanna
2018-06-30 17:43:30 UTC
view on stackexchange narkive permalink

Jag föreslår två saker. Först och främst, när deras slappa säkerhetsåtgärder kan påverka dig, rita en linje. Vägrar till exempel att låta dem använda dina enheter. En enkel "ledsen, jag är inte bekväm att låna ut mina enheter till någon" borde räcka. Upprepa efter behov.

För det andra saker som inte påverkar dig: ignorera dem. Om dina vänner ber om råd, i alla fall hjälp, men ingen lyssnar på oönskade råd om återanvändning av lösenord. Tyvärr kommer vissa människor inte att ändra sitt beteende förrän de personligen har drabbats, och andra inte ens då. Du kan inte ändra dem och försöka kommer bara att anstränga dina relationer utan att göra något bra. Du är varken deras förälder eller deras arbetsgivare, så försök inte utbilda dem om de inte frågar. Inför inte onödiga konfliktkällor i dina relationer.

johnVonTrapp
2018-07-01 01:48:23 UTC
view on stackexchange narkive permalink

Som andra har sagt, behöver du komma ihåg "inte min cirkus, inte mina apor." Vissa människor bryr sig inte så mycket om att "säkra människan." Ett bra exempel är Google Home / Alexa. Dessa saker "lyssnar" hela tiden, för vissa är detta en enorm säkerhetsrisk, och för andra är det helt bra. Du kommer att ha mycket svårt att övertyga någon om att dessa enheter är hemska eller vice versa.

Som det sägs finns det inget universum, bara 7 [.6] miljarder tolkningar av det. De kan i grunden inte hålla med dina åsikter om säkerhet av många skäl. Om du någonsin vill diskutera detta måste du kommunicera på en mycket mer grundläggande nivå av vad säkerhet innebär; du kan inte bara skrika säkerhetsåtgärder mot människor.

Dessutom, som en stolt ägare av en BS i CS, kan jag erbjuda dig min motbevisning till dina säkerhetsproblem. Det här är inte nödvändigtvis mitt alternativ så jag är inte intresserad av att diskutera poängen, men jag erbjuder dem som en påminnelse om att du inte debatterar fakta, dina debatter känslor . Och att försöka debattera känslor är som att föra en kniv till en vapenskamp * (läs: det nuvarande läget i amerikansk politik).

  1. Jag ansluter bara till offentligt Wi-Fi när jag behöver det gör det aldrig som standard. Dessutom är jag noga med att inte komma åt webbplatser som innehåller personligt identifierbar information (PII) eller Federal PII när jag är på nätverket. Dessutom är de flesta webbplatser redan krypterade (HTTPS) ändå. Det enda verkliga säkerhetsproblemet är om nätverket har ett system för att kringgå webbplatsens kryptering, eller om regeringen tittar på (vilket VPN inte kommer att skydda mig från, i alla fall).
  2. Lösenordsdebatten är tyst eftersom jag inte behöver skydda mina lösenord från en riktad attack, utan ett mer allmänt fokuserat på en viss webbplats. Dessutom använder jag 2FA för allt hur som helst.
  3. Återigen är jag inte orolig för att någon kommer att hacka min bärbara dator och stjäla min lösenordsfil. Ja, någon kunde , men det är låg sannolikhet att det kan hända, och uppriktigt sagt är jag inte orolig nog för att bry mig.
  4. Jag bär inte en pistol runt överallt och kräva att alla jag möter visar någon form av identifiering. Jag vill inte ha den stressen och jag är villig att ta den risken.
  5. Varför skulle jag bry mig om att kryptera min hårddisk? Om någon verkligen ville ha min information kommer en krypterad hårddisk inte att stoppa dem ( https://xkcd.com/538/). Dessutom diskuterar jag de faktiska fördelarna med att kryptera enheten.

Okej, så låt mig erbjuda dig en anekdot, min mamma är väldigt mycket som du. Hon kanske inte har teknisk kunskap för att kryptera saker och vad som helst, men hon ger aldrig ut sitt e-post- eller telefonnummer, och hon har inaktiverat mobildata och GPS på sin telefon, och det är bara toppen av isberget. Vi ser henne som paranoida, men jag har lärt mig att bara låta henne vara så. Du kommer inte att vinna detta argument. Den stora delen av att "säkra människan" är att de MÅSTE vilja göra det. Och om de inte gör det, är det deras befogenhet.

Slutligen, låt mig säga till dig detta. Datorsäkerhet, faktiskt all säkerhet, bekämpar en okänd fiende. Du har ingen aning om hur de ska attackera, eller ens om de alls ska attackera. Verkligen borde det kallas datorförsäkring, eftersom det är vad du gör. Du ser till att om någon attackerar dig är du skyddad. Även om du kanske tror att du gör rätt, vilket du mycket väl kan göra, tror andra att du sticker ut mitt i öknen och lägger ditt hus på styltor och köper översvämnings- och löpeldförsäkring. Ja, det kan mycket väl ~ ~ kunna hända, men andra ser det som en onödig försiktighetsåtgärd. De väljer att hantera det oändliga hotet om skadlig kod och identitetsstöld genom att ignorera det, och du hanterar det genom att förbereda. De ser dig som en "prepper", och du måste acceptera det faktum att de flesta inte delar dina bekymmer. Så det här är vad jag tycker att du ska göra:

  • Gör vad du behöver göra för att känna dig trygg. (Dina vänner gör också det här, de har bara ett roligt sätt att uttrycka det.) själv från det. Som andra svar säger, vänligen avvisa och ange dina skäl på ett sådant sätt att det är tydligt att du inte letar efter en debatt.
  • Du kommer att stöta på många människor som har en ännu mer kavalier. attityd om säkerhet än dina vänner. Kom ihåg att du inte ansvarar för dem eller deras information.
  • Slutligen är det något du bryr dig mycket om. Inte alla bryr sig mycket om säkerhet. Det skulle till exempel vara orättvist för min bror, en astrofysiker att kräva att alla omkring honom behöver så sträng kunskap om rymden eller till och med en liknande spänning om det. Vissa människor gör bara lite för rymden.

* En intressant parallell till detta är vår polismodell. Vi brukade tänka att väl upplysta och väl sammanställda samhällen gjorde människor säkra. Så polisen fokuserade starkt på de dåliga delarna av staden. Denna modell kallas Trasiga Windows. Även om dessa områden hade en ökad polisnärvaro, och de fixade fönstren och satte upp fler gatubelysning, såg dessa områden fortfarande ett stort antal brott och medborgarna kände sig fortfarande osäkra. Den senaste modellen för polisarbete, Community Policing, fokuserar på att få människor att känna sig säkra. Även om modellen fortfarande är för ny för att bevisas, är det allmänt överens om att om människor uppfattar att deras samhälle är säkra, så kommer det att vara. Att inte säga att du bara behöver "känna" dig till datasäkerhet, men att vi inte kan motivera våra känslor med fakta eller brist på dem.

5. kryptering med fullständig disk skyddar åtminstone från passiva tjuvar. man kan inte bara stjäla din utrustning och automatiskt få tillgång till data också. så det har fortfarande sina användningsområden.
Kami
2018-07-01 17:42:34 UTC
view on stackexchange narkive permalink

Jag har studerat datasäkerhet på både grundnivå och kort eftergrad (jag är främst en programmerare också och inte en säkerhetsperson, jag tycker bara att ämnet är intressant). Jag kommer aldrig att glömma min första klass: vår professor frågade vem i klassen med cirka 20 studenter aldrig hade gett sitt lösenord till någon annan av någon anledning. Jag var den enda personen som höjde min hand. I en klass människor som hade studerat datavetenskap i minst två år vid den tidpunkten!

Min lärares poäng var att du måste utforma säkerhetslösningar runt människor och hur de naturligt beter sig, och detta är något bra att tänka på om ditt mål är att få dina vänner att använda bättre praxis. Om det besvärar eller irriterar dem har du liten chans att sälja ett beteende till dem - och om du irriterar dem kommer de inte att vilja lyssna på dig.

Jag tror att du måste komma ihåg att du inte själv är professionell inom datasäkerhet. Du kanske vet några allmänna saker från att vara i samma bransch, men det gör dig inte nödvändigtvis bra på att ge rekommendationer till andra om ämnet. I den verkliga världen kommer säkerhetslösningar inte som en lista över förordningar som har lämnats av experten; du måste vara flexibel och kunna kompromissa på grund av den mänskliga faktorn.

En stor del av att göra säkerhetsrekommendationer är att bedöma risker och väga upp det mot kostnaden för att genomföra vissa säkerhetsförfaranden. Du gör inte allt du kan göra om dollarvärdet av att göra det är större än dollarvärdet av negativa konsekvenser. Vad är risken för att dina vänners klartext / återanvända lösenord blir stulna i en riktad attack, eller att deras tillgång till offentlig WiFi leder till allvarliga negativa konsekvenser? Lågt, om inte de till exempel arbetar i ett företag som kineserna kanske vill rikta sig till för spioneringsändamål. Det är mer troligt att deras privata data blir stulna genom dålig säkerhetspraxis på webbplatserna de loggar in på, och det spelar ingen roll hur bra deras lösenordshantering är vid den tiden.

Och vad är det värsta kommer att hända om det värsta händer? Om de är som majoriteten av människor som inte gör något som konsekvenser med sina enheter, kommer det inte att vara livskrossande. De kan förlora några foton eller chattloggar eller sparade spel, och de kommer att lära sig en lektion mycket mer effektivt än de gör om du fortsätter att gnälla på dem. Bankkontosäkerhet och liknande är lite allvarligare, men som du har sett kan bedrägliga transaktioner ofta återföras. På gott och ont, kanske dina vänner har gjort sina egna beräkningar och bestämt sig för att risken är värt bekvämligheten med några av deras lata och slarviga beteenden.

Det roliga är att din väns svar om dina GitHub-uppladdningar är inte alls ologiskt i samband med din konflikt. Du har gjort en viss nivå av studier och du har "erfarenhet", som kan eller inte kan vara meningsfull. Inget av det betyder att du skriver säker, robust kod. Vilken försäkran kan du verkligen erbjuda din vän, som vet att han inte är expert på vilken kod som kan eller inte kan göra, att din programvara bara gör vad du tycker / hävdar att den gör och inte öppnar dem för säkerhetsgremlins?

Allt detta betyder inte att du inte bör ge dina vänner råd baserat på vad du vet om det är lämpligt, men jag föreslår att du omprövar dina skäl för att vara så övertygade om att erbjuda råd som de helt klart inte vill ha. Precis som du inte gillar att låna din utrustning utan tillstånd (vilket är helt rättvist), gillar dina vänner förmodligen inte att du föreläser dem utan deras tillstånd. Om du vill att de ska respektera dina önskemål, kan det vara en bra idé att börja verkligen lyssna på deras när deras beteende kommunicerar dem till dig.

Detta betyder inte att du inte kan eller inte borde utbilda dina vänner, men du måste göra det på ett sätt som faktiskt kommer att utbilda dem. Min partner gillar att informera familjemedlemmar om aktuella säkerhetsproblem genom att sammanställa informativa e-postmeddelanden: a 'visste du?' arrangemang. Du kan prova liknande saker genom sociala medier, plocka information och berättelser som sakta kommer att bekanta dina vänner med frågorna och konsekvenserna utan att någon känner sig personligt attackerad. Du kan till och med tala direkt om du ser en vän göra något de inte förstår konsekvenserna av, men om det inte direkt påverkar dig eller din utrustning måste du respektera när de inte är intresserade.

Det kanske mest kritiska, men minst tekniska området för InfoSec är socialteknik. En blivande angripare kan få en person att göra en hel del saker som de kanske vet väl de inte borde om det inte är för svårt för dem att göra det och de känner sig positiva om vad de gör. Jag är säker på att du kan tänka på sätt att använda samma principer för att förmedla information till dina vänner till deras fördel.

Elsdon Ward
2018-06-30 18:02:28 UTC
view on stackexchange narkive permalink

Jag har arbetat under större delen av min karriär inom informationssäkerhet, hanterat datacenter och hanterat säkerheten för känslig information även så långt tillbaka som tunga, kylda maskinrumsmiljöer och Windows 3.1.

Den typ av medvetenheten om att du visar är till din kredit, och jag ser att frågorna om interaktion med dålig datasäkerhetspraxis är mycket viktiga för dig, som det borde vara med alla andra i din vänskapsgrupp.

Vad jag föreslår att de just nu ser dig som en "smärta" istället för som en kvalificerad och respekterad rådgivare. Jag tycker att du borde göra en plan som kommer att förändra deras uppfattning om dig och dina talanger.

Kanske kan du börja med att interagera mer seriöst, skapa en arbetsgrupp så att alla kontaktas tillsammans i dessa frågor. Du kommer kanske att få svar som de andra skulle se - och detta kan börja göra dem mer medvetna om farorna och även hur enkelt det är att upprätthålla en hög säkerhetsnivå (med hjälp av ditt råd)

Du kan sedan börja rekommendera kostnadsfria och effektiva program som skyddar deras datasäkerhet och erbjuder att ladda ner, installera eller övervaka hur dessa program används - och förklara fördelarna.

Så du ger bort några hemligheter - men i gengäld är din grupp medveten och säker för nu och in i framtiden. Var bara försiktig så att du undviker att peka med fingret på någon enskild person och bibehålla dina professionella standarder hela tiden.

Tack för frågan väldigt intressant och aktuell.

Föreslår du att askaren startar en arbetsgrupp med sina vänner? Vad får dig att tro att dessa människor skulle vara intresserade av att gå med i en sådan arbetsgrupp?
Till att börja med har de kanske inte mycket tid för det. Men det beror på hur du börjar - om du börjar med att ge avslappnad bra information gratis som skulle vara till hjälp för dem, kan de med tiden inse hur dåliga deras egna kunskaper och förmågor är, kan se värdet av god mening i data säkerhet. och kan börja bli intresserad. Att vara kritisk uppnår ingenting och så är alternativen begränsade, så varför inte aktivt hjälpa dem?
Det låter inte som att de vill ha hjälp, än mindre att vilja delta i en seriös gruppstudie av informationssäkerhetspraxis. Om askarens vänner hade något intresse av att gå med i en arbetsgrupp för informationssäkerhet skulle dessa konflikter säkert inte hända? Det finns en ganska fast gräns för hur mycket oönskade råd du kan ge dina vänner, och det låter som om OP redan har överskridit det.
Ja du har rätt men faktiskt vill han inte gå bort eller överge dem, han vill lösa deras argument och problem. För att göra detta måste han nå ut till dem på något sätt - inte gå bort.
@ElsdonWard Han behöver inte överge dem som vänner, bara erkänna att han inte är ansvarig för deras infosec-praxis. Min erfarenhet är att människor i allmänhet inte är blyga att be om datorhjälp när de vill ha det, och OP har gjort det känt att han har kompetensen att hjälpa till vid behov. Om de vill ha hjälp med sina problem, kan de verkligen be om det.
Den här kommentaren är lika giltig som någon av de andra - det är ett annat sätt att han kan lossna och fortsätta att vara vänner.
Scott
2018-07-02 04:21:51 UTC
view on stackexchange narkive permalink

Om du fortfarande vill ändra deras beteende, sänka dina standarder avsevärt och uppfylla dem i mitten (inte att du ska vara mer slapp på dina enheter, men vad du rekommenderar att de gör med sina).

Återanvändning av lösenord är bra. Något som ett stackexchange-konto kan dela ett lösenord med andra tjänster eftersom de negativa konsekvenserna mäts i falska internetpunkter. Försök att övertyga dem om att ställa in unika lösenord för sin bank, deras e-post (vilket är återställningsalternativet för allt) och alla andra tjänster av liknande betydelse.

Att skriva ner lösenord är ok. Pennan på papper och förvara den någonstans som webbkameran inte kan se. Om någon har brutit sig in i deras hus har de större problem än den som har sina lösenord. Så länge de inte skriver ner sina lösenord.

I slutändan måste du acceptera att andra inte bryr sig om riskerna lika mycket som du. Du kommer aldrig att övertyga dem om att vidta samma försiktighetsåtgärder som du gör, så fokusera på minimering av skador istället för skadestånd. De tycker antagligen att du är galen för att ta risker i andra delar av ditt liv (dricka, röka, brist på motion, ohälsosam mat, snabba / bakåtgående bilar, inga säkerhetsluckor på dina husfönster) - skulle du helt sluta göra alla dessa saker för att någon sa till dig att de var riskabla?



Denna fråga och svar översattes automatiskt från det engelska språket.Det ursprungliga innehållet finns tillgängligt på stackexchange, vilket vi tackar för cc by-sa 4.0-licensen som det distribueras under.
Loading...