211service.com
Džeimsa Komija Twitter drošības problēma ir arī jūsu problēma
Vēl nesen daudzas lielas informācijas noplūdes, piemēram, Mērķis un Sony uzlaušana — notika, jo dati nebija aizsargāti. Pareiza šifrēšana, iespējams, būtu novērsusi šos pārkāpumus.
Tagad lietas ir savādākas. Mēs redzam, ka arvien vairāk problēmu rodas nevis tāpēc, ka dati nav aizsargāti, bet gan tāpēc, ka tie ir nepareizi aizsargāti.
Vēl nesen daži cilvēki ārpus akadēmiskās vides pievērsa lielu uzmanību jēdzienam, ko sauc par informācijas plūsmas drošību, kas ietver datu pārbaudi, kad tie mijiedarbojas ar programmatūru. Tad nāca līdzi Tas gandrīz noteikti ir Džeimsa Komija Twitter konts , Gizmodo raksts, kurā ir apkopots viss, ko nozīmē mūsdienu informācijas noplūde.
Raksta stāsts: žurnāliste Ešlija Feinberga vēlējās atrast FIB direktora Džeimsa Komija slepeno Twitter kontu. Viņa sāka rakņāties pa internetu un varēja atklāt kontu tikai četru stundu laikā, lielā mērā izmantojot galveno informācijas plūsmas kļūdu pakalpojumā Instagram.
Feinberga apraksta, kā viņa izmantoja faktus par Komiju un viņa ģimeni, lai atrastu publisku tvītu, kas viņu noveda pie publiska Instagram komentāra, kas noveda viņu uz Komija 22 gadus vecā dēla Brīna aizsargāto Instagram lapu.

Žans Jans Leonards Greko
Pēc tam, kad Feinberga nosūtīja lūgumus sekot Brienai, Instagram ieteica viņai arī sekot reinholdniebuhr , vēl viens aizsargāts Instagram konts, kas atbilda tam, ko Feinbergs jau zināja par Džeimsa Komija Instagram kontu. Vēl labāk, Twitter rokturis ar tādu pašu nosaukumu atbilda tam, ko Feinberga zināja par Komija Twitter kontu.
Šeit notiek daudzas lietas, daudzas no kurām Instagram programmatūras izstrādātājs nevar kontrolēt, taču šīs noplūdes pamatā ir informācijas plūsmas kļūda. Feinberga paļāvās uz vairākiem svarīgiem publiskiem faktiem par Komiju, taču viņa nebūtu varējusi atrast viņa Twitter kontu, ja Instagram netīšām nebūtu sniedzis svarīgus pavedienus. Un Instagram nebūtu atklājis šo informāciju, ja kods būtu pareizi nodrošinājis informācijas plūsmas drošību.
Pastāv pretruna starp to, kā Instagram aizsargā informāciju kontu profilos, kad lietotāji mēģina tai piekļūt, un to, kā tas aizsargā šo informāciju, kad tā tiek izmantota dažādos algoritmos. Mēģinot skatīt aizsargāta lietotāja Instagram lapu, jūs nevarat piekļūt šīs personas fotoattēliem vai redzēt, kam šis lietotājs seko. Tomēr izrādās, ka aizsargātā konta informācija ir redzama algoritmiem, kas iesaka cits lietotājiem, kam sekot, funkcija, kas kļūst — nepareizi redzama visi skatītājiem, kad tiek pieprasīts sekot.
Šajā gadījumā politikas pārkāpums ir īpaši mānīgs, jo faktiski nopludinātais, Reinholdneibuhr profila fotoattēls un vārds, ir publiski pieejami visā Instagram. Tam, kam jābūt privātam, ir attiecības starp Braienu Komiju un šo Reinholdneibuhr kontu. Lai gan ir iespējams, ka Instagram nejauši parādīja reinholdneibuhr kā ieteicamo kontu, kam sekot 600 miljoni aktīvo lietotāju mēnesī , visticamāk, jo īpaši ņemot vērā to, ka citiem ieteiktajiem lietotājiem bija uzvārds Comey, ir tas, ka Instagram ieteikumu algoritms izmantoja slepeno sekošanas informāciju, lai aprēķinātu, kurus kontus ieteikt. Informācijas plūsmas nomenklatūrā slepenas informācijas noplūdi, parādot publisko informāciju, sauc par netiešo plūsmu.
Tāpat kā pareiza šifrēšana būtu novērsusi Target un Sony uzlaušanu, ir risinājumi tādas informācijas noplūdes novēršanai kā šī. Ir veikti gadu desmitiem ilgi pētījumi par informācijas plūsmas drošības metodēm: daži pārbauda programmatūru pirms tās palaišanas, citi pārrauga programmatūru, kad tā darbojas. Šis darbs ir daudz vairāk nekā teorētisks: cilvēki ir izveidojuši operētājsistēmas un tīmekļa ietvarus, pamatojoties uz šīm idejām. Šādas sistēmas būtu atklājušas, ja ieteikuma algoritms nopludinātu slepeno sekošanas informāciju, un novērsusi noplūdi. Bet pat ar šīm pieejām programmētājam joprojām ir jāpadomā par politiku sarežģīto un smalko mijiedarbību savā starpā un ar kodu, lai izveidotu programmatūru, kas nenopludinātu informāciju.
Manā laboratorijā mēs cenšamies atvieglot izstrādātājiem informācijas plūsmas politiku ieviešanu. Mēs palīdzam iekārtai uzņemties atbildību par mijiedarbības pārvaldību starp politikām un programmu, lai nodrošinātu, ka ieteikumu algoritmi nenopludina informāciju. Politikas arī nosaka, kādas vērtības iekārta var izmantot, ja faktiskās vērtības ir jātur noslēpumā. Piemēram, ja meklēšanas algoritmam nav atļauts izmantot precīzu personas atrašanās vietu, iespējams, tas var izmantot atbilstošo pilsētu.
Saistīts stāsts
Saistīts stāsts Tālruņi, kas bloķē visu, kas tiem pieder, varētu kavēt tiesībaizsardzību vairāk, nekā mēs patiesībā vēlamies.Lai gan digitālajai drošībai vajadzētu būt vienai no galvenajām FIB bažām, Komijs nevarēja izvairīties no problēmām, kas rodas no politikas spageti, kas ir mūsdienu kods, haoss. Lai gan šī noplūde skāra daudz mazāk cilvēku nekā lielie datu pārkāpumi, tā iezīmē svarīgu pārmaiņu informācijas drošībā.
Līdz šim lielākā daļa cilvēku par drošību domāja, lai aizsargātu atsevišķus datu vienumus, nevis par sarežģītu un smalku mijiedarbību ar programmām, kas tos izmanto. Bet tagad mēs dzīvojam pasaulē, kurā FIB direktors uzticas mūsu interneta infrastruktūrai un Instagram, lai tiešsaistē ievietotu 3227 privātas fotogrāfijas. No vienas puses, tas nozīmē, ka esam sasnieguši noteiktu drošības līmeni. No otras puses, tas nozīmē, ka tagad varam koncentrēties uz sarežģītākām drošības problēmām. Un, kad ikviens, kam ir labs atskaitījums un piekļuve internetam, var uzzināt visu veidu informāciju, mūsu darbs informācijas drošības jomā nebūt nav beidzies.
Žans Jangs | ir Kārnegija Melona universitātes datorzinātņu nodaļas docents un bija nosaukts viens no MIT tehnoloģiju apskats ’s Inovatori, kas jaunāki par 35 gadiem 2016. gadā.