Veriler yeni uranyumdur: tehlikeli ve korunması zor
Geçen yılın sonunda, VW veri skandalı medya panoramasını geçti: VW grubu, otomobillerinin çoğundan hareket verilerini toplar ve depolar. Yay botunun yanlış yapılandırılması nedeniyle, belirli bir bağlantı aracılığıyla bir uygulamanın döküm yığını oluşturmak mümkündür. Bu uygulamanın hareket verileriyle bulut belleğine erişimi vardır. Döküm yığını, verilere erişmek için anahtarları içeriyordu ve bu nedenle saldırganlar verileri indirebildi.
(Resim:
Eberhard Wolff
)))
Eberhard Wolff, Swaglab'ın mimarisinin başkanıdır ve yirmi yıldan fazla bir süredir, genellikle iş ve teknoloji arasındaki arayüze mimar ve danışman olarak çalışmaktadır. Mikro hizmetler de dahil olmak üzere çok sayıda makale ve kitabın yazarıdır ve uluslararası konferanslarda konuşmacı olarak düzenli olarak performans gösterir. Teknolojik odağı, bulut, alan adı ve mikro hizmetler tarafından yönetilen tasarım gibi modern mimari ve geliştirme yaklaşımlarıdır.
Ondan ne öğreniyoruz? Görünüşe göre sonuç açıktır: halka erişilebilir başvuruları yeterince garanti etmek gerekir. Bu doğru, ama CAOS İletişim Kongresi'ndeki sunum yoluyla başka bir şey öğrendim: Bir arabanın geçmiş yerlerini biliyorsanız, ondan ilginç sonuçlar çıkarabilirsiniz. Örneğin, bir otomobilin düzenli olarak BND gibi gizli bir hizmetin otoparkında, daha sonra düzenli olarak bir yerleşim bölgesinde sabit bir park yeri ve her zaman ve sonra bir genelev parkında olduğunu varsayalım. Bu değerli bir bilgidir. Muhtemelen tanımlanması kolay olan Gizli Servis çalışanına şantaj yapabilirsiniz. Bu skandaldan toplam 800.000 araba etkilendi ve terabayt verileri vardı. Değerli veri hazineleri bulmak için yeterli fırsat vardır.
Bu sorunlar dijital bilgisayarlardan daha eskidir: Hollanda, nüfus sayımının bir parçası olarak vatandaşlarının dini ilişkisini ele geçirmişti. Naziler daha sonra işgalden sonra tüm Yahudileri kovmak için kullandılar.
Veri koruması tek sorun değil
Bu veri kayıtları o kadar ilginç ki Gizli Hizmetler bunları yakalamaya çalışacak. BT sistemleri bu tür rakipler tarafından garanti edilemez. Bir örnek: Stuxnet, Scaper uranyum üretimi için Ultra -merkez Iraniani'ye bir saldırı oldu. Diğer şeylerin yanı sıra, bilinmeyen birkaç güvenlik boşluğu kullanılmıştır (“sıfır gün istismarı”). Kendinizi bu saldırılardan koruyamazsınız çünkü güvenlik sorunları bilinmemektedir ve bu nedenle karşı önlem yoktur. Bu, muhtemelen İnternet gibi ağlar aracılığıyla erişilemeyen ve fiziksel erişimin kontrol edilebileceği nükleer sistemler için de geçerlidir.
Parlamentamızın verileri Rus hackerlar tarafından da gösterilmektedir.
VW verileri yeterince sağladı, ancak yapmış olsalar bile: Bu sadece verilere erişmenin zorlaştığı anlamına gelir. Ancak gizli bir hizmet gerçekten bu verileri istiyorsa, başarılı olacaktır.
Önemli: VW'nin bu tür verileri depolayan tek şirket olması olası değildir. Örneğin, Tesla telemetri veri ve videoları toplar ve otomobil kapılarını da açabilir. Bu nedenle bu verilere, bazılarının aşırılık yanlıları olduğunu düşünen insanlar için erişilebilir. Diğer üreticilerde, veriler otoriter ülkelerde saklanır, kesinlikle optimal değildir.
Verileri tam olarak koruyamazsınız!
Ancak, verilerin başlangıçtan itibaren sorunlu ellerde olmadığını, ancak “sadece” korunması gerektiğini varsayalım. Verileri korumak, kripto para birimlerini göstermek ne kadar zor. Bir cüzdan için özel kripto para birimi anahtarınız varsa, kişinin haklı olduğu veya parayı çalmasından bağımsız olarak ilgili fonlara erişebilirsiniz. Bu nedenle, bu anahtarlar çok iyi sigortalanmalıdır. Bununla birlikte, kripto para birimi fonlarının genellikle 1,5 milyar dolarlık bile, genellikle Milyonları tekrar kaybettiğini bildiren bir web sitesi var. Dolayısıyla nakit söz konusu olduğunda bile, veriler yeterince garanti edilemez. Ve gizli hizmetler de bu sektörde aktiftir. Örneğin, kriptografik hırsızlığa sahip Kuzey Kore, diktatörlüğünü ve diğer şeylerin yanı sıra nükleer silah programını finanse ediyor.
Veri ekonomisi
Dolayısıyla verileri korumak çözüm değildir. Bu, yalnızca bir çözümün kaldığı anlamına gelir: bu verileri toplamak ve kaydetmek. Verilerin önlenmesi ve veri ekonomisi devreye girer: Verileri arşivlediğinizde, kendinize hangi özelliklerin gerekli olduğunu sormayı ve yalnızca gerekli verileri kaydetmeniz gerekir. Örneğin, arabanızı aramak istiyorsanız, yalnızca arabanın bulunduğu mevcut yere ihtiyacınız vardır. Bunun için geçmiş verileri saklamanız gerekmez. Gerekirse, arabaya yalnızca gerektiğinde iletişime geçebilir ve daha sonra otomobilin mevcut konumunu belirleyebilirsiniz. Bu şekilde, uygulama herhangi bir veri kaydetmemelidir. İlk bakışta, bir şirketin bir arabanın tarihsel hareket verilerini neyin arşivlemek istediğini göremezsiniz.
Buna ek olarak, kullanıcılar bazı özelliklerin etkinleştirilmesi gerekip gerekmediğini sorabilir. BND'nin, çalışanlarının uzlaşmasını basitleştirmek yerine bir arabanın konfor işlevleri olmadan yapmasını tercih edebilir. Başkaları için farklı olabilir. Ancak asla net bir şekilde sormazsanız, ancak verileri varsayılan olarak kaydediyorsanız ve devre dışı bırakmayı gizlerseniz, böyle bir uzlaşmayı ve her şeyi tatmin etmeyi zorlaştırır.
Her şeyden önce, verilerin yeni yağ olduğu fikri olmalıdır. Aksi takdirde, kurtarma sonraki analiz için tamamen mantıklıdır ve VW veri skandalı gibi sorunlar yaratır.
Başka yerlerde de böyle bir fenomen vardır: Gerçekten tüm Almanların sağlık verilerini toplamak ve bunları bir prosedürle erişilebilir kılmak istiyor musunuz? Bu veriler ne kadar değerli? Öyleyse onları yeterince koruyabilir misin?
Ancak olumlu örnekler de var: Corona Warn uygulaması “Solo” iletişim bilgileriyle ilgileniyordu ve orada “çok iyi” Kaos Bilgisayar Kulübü'nü bile bulan merkezi olmayan bir depolama alanına sahip bir konsept uyguladınız.
Ve şimdi?
Yazılım geliştiricileri ve yazılım mimarları yazılım verileriyle yapabileceğiniz şeylerle karşı karşıyadır. VW'nin saldırısından önce, bu verilerin ilgili taraflar için ne kadar değerli olabileceği açık bulamadım. Akıllı saatler zaten askeri üslerin pozisyonunu ortaya çıkarmış olsa da. Bu nedenle, geliştirme ekipleri her zaman veri toplamak isteyip istemediğinizi merak etmelidir.
Amerika Birleşik Devletleri'nde Elon Musks Doge (“Hükümet Bakanlığı Verimliliği” olarak adlandırılır) büyük miktarlarda veriye erişim sağlar. Seyirci, sadece verileri okumak için güvence altına alınmıştır. Bu, verilerin değeri hakkında büyük bir naifliğe tanıklık eder. Doges web sitesi tamamen güvensizdir. Çalışanlar verilerini garanti edemezler. Bu nedenle, verilerin Doge'den güvenli olduğundan şüphe etmelisiniz. Kayıtlı verilere internette serbestçe erişilebilir olduğunda veya doğru aşırılık yanlılarının veya demokratik olmayan bir hükümetin eline düştüğünde ne olacağını sormak kesinlikle iyi bir fikirdir.
TL;
Veriler ancak kendilerini kurtarmazlar ve onları toplamazlarsa kesindir. Bu nedenle geliştiriciler ekipleri yalnızca kaydedilmesi gereken verileri kaydetmelidir.
(RME)