Draqon
Aktif Üye
Veriler yeni uranyumdur: tehlikeli ve güvence altına alınması zor
Geçen yılın sonunda, VW veri skandalı medya manzarasından geçti: VW grubu, otomobillerinin çoğundan hareket verilerini toplar ve depolar. Spring Boot'un yanlış yapılandırılması nedeniyle, belirli bir bağlantı aracılığıyla bir uygulamanın yığın dökümü oluşturabilirsiniz. Bu uygulamanın hareket verileriyle bulut belleğine erişimi vardır. Yığın dökümü, verilere erişmek için anahtarları içeriyordu – ve böylece saldırganlar verileri indirebildi.
(Resim:
Eberhard Wolff
)))
Eberhard Wolff, Swaglab mimarisi başkanıdır ve yirmi yılı aşkın bir süredir, genellikle iş ve teknoloji arasındaki arayüzde mimar ve danışman olarak çalışmaktadır. Mikro hizmetler de dahil olmak üzere çok sayıda makale ve kitabın yazarıdır ve uluslararası konferanslarda düzenli olarak konuşmacı olarak performans gösterir. Teknolojik odağı, bulut, alan odaklı tasarım ve mikro hizmetler gibi modern mimari ve geliştirme yaklaşımlarıdır.
Ondan ne öğreniyoruz? Görünüşe göre sonuç açıktır: kamuya açık erişilebilir uygulamaları yeterince güvence altına almalısınız. Bu doğru, ama Chaos İletişim Kongresi sunumuyla başka bir şey öğrendim: Bir arabanın geçmiş yerlerini biliyorsanız, ondan ilginç sonuçlar çıkarabilirsiniz. Örneğin, bir otomobilin düzenli olarak BND gibi gizli bir hizmetin otoparkında, daha sonra düzenli olarak bir yerleşim bölgesindeki sabit bir otoparkta ve her zaman bir genelev park yerinde olduğunu varsayalım. Bu değerli bir bilgidir. Muhtemelen gizli hizmet çalışanını tanımlamak için kolay bir şantaj yapabilirsiniz. Bu skandaldan toplam 800.000 otomobil etkilendi ve terabayt verileri vardı. Değerli veri hazineleri bulmak için yeterli fırsat var.
Bu tür sorunlar dijital bilgisayarlardan daha eskidir: Hollanda, nüfus sayımının bir parçası olarak vatandaşlarının dini ilişkisini yakalamıştı. Naziler bunu istiladan sonra tüm Yahudileri sınır dışı etmek için kullandılar.
Verilerin korunması tek sorun değil
Bu veri kayıtları o kadar ilginç ki Gizli Hizmetler bunları yakalamaya çalışacak. BT sistemleri bu tür rakiplere karşı güvence altına alınamaz. Bir örnek: Stuxnet, silahla kaplanabilir uranyum üretimi için İran ultra -comindufuglarına bir saldırı oldu. Diğer şeylerin yanı sıra, pencerelerde bilinmeyen birkaç güvenlik boşluğu (“sıfır gün istismarları”) kullanılmıştır. Kendinizi bu tür saldırılara karşı koruyamazsınız çünkü güvenlik sorunları bilinmemektedir ve bu nedenle karşı önlem yoktur. Bu, muhtemelen İnternet gibi ağlar aracılığıyla erişilemeyen ve fiziksel erişimin kontrol edilebileceği nükleer sistem sistemleri için bile geçerlidir.
Parlamentamızın verilerinin Rus hackerlar tarafından kanıtlandığı kanıtlanmıştır.
VW verileri yeterince sigortaladı, ancak bunu yapmış olsa bile: bu sadece verilere erişmenin zorlaştığı anlamına gelir. Ancak gizli bir hizmet gerçekten bu verileri istiyorsa, başarılı olacaktır.
Önemli: VW'nin bu tür verileri depolayan tek şirket olması olası değildir. Örneğin, Tesla telemetri verileri ve videolar toplar ve ayrıca otomobillerin kapılarını açabilir. Bu verilere daha sonra bazılarının doğru olan aşırılık yanlıları olduğunu düşünen insanlar için erişilebilir. Diğer üreticilerde veriler otoriter ülkelerde saklanır – kesinlikle optimal değildir.
Verileri tam olarak koruyamazsınız!
Ancak, verilerin başlangıçtan itibaren sorunlu ellerde olmadığını varsayalım, ancak “sadece” güvence altına alınmalıdır. Verileri güvence altına almak, kripto para birimleri göstermek ne kadar zor. Bir cüzdan için özel kripto anahtarınız varsa, kişinin haklı olup olmadığı veya parayı çalıp çalmadığı konusunda ilgili fonlara erişebilirsiniz. Bu nedenle, bu anahtarlar gerçekten iyi güvence altına alınmalıdır. Bununla birlikte, kripto para birimi fonlarının tekrar kaybedildiğini bildiren bir web sitesi var-bir durumda 1,5 milyar dolar bile, ortadan milyonlarca milyon. Dolayısıyla nakit söz konusu olduğunda bile, veriler yeterince güvence altına alınamaz. Ve bu alanda gizli hizmetler de aktiftir. Örneğin, kripto hırsızlığı olan Kuzey Kore, diktatörlüğünü ve diğer şeylerin yanı sıra nükleer silah programını finanse ediyor.
Veri ekonomisi
Dolayısıyla verileri güvence altına almak çözüm değildir. Bu, yalnızca bir çözümün kaldığı anlamına gelir: bu verileri toplamak ve kaydetmek. Bu, veri önleme ve veri ekonomisinin devreye girdiği yerdir: verileri saklarken, kendinize hangi işlevselliklere ihtiyaç duyduğunuz soruyu sormanız ve yalnızca gerekli verileri kaydetmeniz gerekir. Örneğin, arabanızı aramak istiyorsanız, yalnızca arabanın bulunduğu mevcut yere ihtiyacınız vardır. Bunun için geçmiş verileri saklamanız gerekmez. Gerekirse, arabayla yalnızca talep ettiğinizde iletişime geçebilir ve ardından aracın mevcut konumunu belirleyebilirsiniz. Bu şekilde, uygulamanın herhangi bir veri kaydetmesi gerekmez. İlk bakışta, bir şirketin bir arabanın tarihi hareket verilerini depolamak istediği görülemez.
Buna ek olarak, kullanıcılar belirli işlevlerin hiç etkinleştirilmesi gerekip gerekmediğini sorabilirler. BND'nin, çalışanlarının uzlaşmasını basitleştirmekten ziyade bir arabanın konfor işlevleri olmadan yapmasını tercih edebilir. Başkaları için farklı olabilir. Ancak hiçbir zaman net bir şekilde sormazsanız, ancak verileri varsayılan olarak kaydediyorsanız ve devre dışı bırakmayı gizlerseniz, böyle bir değiş tokuş ve İnkalarla karşılaşmayı zorlaştırır.
Her şeyden önce, verilerin yeni yağ olduğu fikri olmalıdır. Aksi takdirde, tasarruf daha sonraki analizler için tamamen mantıklıdır ve VW veri skandalı gibi sorunlar yaratır.
Başka yerlerde de böyle bir fenomen vardır: Gerçekten tüm Almanların sağlık verilerini toplamak ve bir prosedürle erişilebilir kılmak istiyor musunuz? Bu veriler ne kadar değerli? O zaman onları yeterince koruyabilir misin?
Ancak olumlu örnekler de var: Corona Warn uygulaması “Sadece” iletişim bilgileriyle ilgileniyor ve orada Chaos Computer Club'ı “çok iyi” bulan merkezi olmayan bir depolama alanına sahip bir konsept uyguladınız.
Ve şimdi?
Yazılım geliştiricileri ve yazılım mimarları, yazılımınızdaki verilerle neler yapabileceğinizle ilgilenmek zorundadır. VW hackinden önce, bu verilerin ilgili taraflar için ne kadar değerli olabileceğini açık bulamadım. Akıllı saatler zaten askeri üslerin pozisyonunu ortaya çıkarmış olsa da. Bu nedenle, geliştirme ekipleri her zaman verileri toplamak isteyip istemediğinizi kendilerine sormak zorundadır.
Amerika Birleşik Devletleri'nde Elon Musks Doge (SO -“Hükümet Verimliliği Bakanlığı”) büyük miktarda veriye erişir. Halk, sadece verileri okumakla ilgili olduğu gerçeğiyle güvence altına alınmıştır. Bu, verilerin değeri hakkında büyük naifliğe tanıklık eder. Doges kendi web sitesi tamamen güvensizdir. Çalışanlar kendi verilerini güvence altına alamazlar. Bu yüzden verilerin Doge'den güvenli olup olmadığından şüphe etmelisiniz. Kayıtlı veriler internette serbestçe erişilebilir olduğunda ya da sağa giden aşırılık yanlılarının veya demokratik olmayan bir hükümetin eline düştüğünüzde kendinize ne olacağını sormak kesinlikle iyi bir fikirdir.
TL; dr.
Veriler yalnızca kaydetmez ve toplamazsanız kesindir. Bu nedenle geliştirici ekipleri yalnızca kaydedilmesi gereken verileri kaydetmelidir.
(RME)