Bu yardımda net güvenlik röportajında, Siber Güvenlik Uzmanı ve Açık Teknoloji Enstitüsü Profesörü Kim Crawley, uzman tavsiyesini içerecek olan tehlikeli bir dünyada Dijital Güvenliği kitabının yanı sıra diğer siber güvenlik uzmanlarından, avukatlardan ve aktivistlerden, zorlu zamanlarda güvenliğinizi ve gizliliğinizi yasal olarak nasıl koruyacağınız konusunda tartışıyor.
Tehlikeli bir dünyada dijital güvenlik yazmanız için size ilham verdi ve önceki çalışmalarınızdan nasıl farklı?
Verilerim, cihazlarım ve dijital hayatım benim için önemli. Genai’yi iterek, teknoloji devleri kontrolü ele geçirmeye çalışıyor. Kendim için düşünebilir ve yaratabilirim ve kitlesel intihal üzerine inşa edilmiş yüceltilmiş bir otomatik tamamlamaya güvenmeyeceğim. Gizliliğime değer veriyorum, Genai’nin çevresel etkisi konusunda endişeleniyorum ve kusurlu botların gerçek, düşünen insanların yerini aldığı bir geleceği reddediyorum.
Android 15’i grafeneos ve Windows 11 ile Kubuntu ile değiştirdim. 15 yıldır Debian merkezli dağıtımları kullanmama rağmen, AAA Gaming için onları denemedim. OpenGL ve Steam güverte sayesinde, sadece pencerelerdeki oyunlarımın çoğu artık Linux’ta çok az çaba sarf ediyor. Grapheneos da pürüzsüz bir anahtar olmuştur ve hala web uygulamalarında temkinli kalmama rağmen Genai üzerinde daha fazla kontrole sahip olduğum için rahatladım.
Dışarıda insanların kullanabileceği siber güvenlik ve OPSEC tavsiyesi olan çok sayıda yararlı kitap var. Ed Snowden’in kalıcı kaydı, Snowden’in vahiyiyle ilgili diğer kitaplar ve Chelsea Manning’in ReadMe.txt kitabımın konusu ile örtüşüyor. Ve insanların kitaplarını okumalarını şiddetle tavsiye ediyorum çünkü bunların çoğunu ilk elden gördüler.
Kitabım büyük ölçüde bu Ocak ayından bu yana neler olup bittiğiyle ilgili, çünkü Snowden ve Manning’in keşiflerini onlardan daha iyi açıklayamıyorum. Ayrıca Boston Dynamics, ClearView AI, Palantir ve benzer şirketlere de gireceğim. Önemli bilgisayar teknolojisi patentlerinin çoğunun II. Elektronik bilgi işlem tarihi gerçekten hevesli bir ilgim. O’Reilly Kitap Hacker Kültürüm: A’dan Z’ye yazdım. Ve O’Reilly ve açık teknoloji enstitüsü okulum aracılığıyla görüşmeler yaptım. Kullandığımız bilgisayar teknolojilerinin çoğunun DARPA ve diğer Amerikan hükümet ajansları aracılığıyla icat edilmesinin yararlı olduğunu düşünüyorum.
Önceki kitaplarım esas olarak işletmelerin ihtiyaçlarına ve onlar için çalışan siber güvenlik uygulayıcılarına odaklanmıştı. Pentester Blueprint, bir çatı katı olarak kariyerin nasıl alınacağına dair en çok satan rehberdir. Daha iyi güvenlik için 8 adım, hiçbir güvenlik olgunluğu olmayan ve bazılarını geliştirmesi gereken işletmeler için tavsiyemdi. Güvenlik açığı tarama bulut hizmetleri üzerine bir kılavuz yazdım. Ultimate Siber Güvenlik Kariyer Kılavuzu benim yayınlanan ilk kitabımdı ve bunu kendi yayınlamamın tek nedeni, birlikte çalıştığım büyük yayıncıların bununla ilgilenmemesi. Yine de, siber güvenlik alanına nasıl girileceğini öğrenmeye istekli insanlar tarafından LinkedIn’de mesajlaşıyorum.
Tehlikeli bir dünyada dijital güvenliği kendi kendine yayınlıyorum çünkü biraz politik olarak tartışmalı olacağım ve bilgisayar teknolojisi hakkında kitap satmak için para kazanmak için var olan büyük bir işletmenin, adıyla böyle bir sıcak patates istememesi anlaşılabilir. Kim Zetter’in sıfır güne geri sayımı ve benzer kitaplar, Amerikan Stuxnet’in gelişimine katılımı gibi konuları nasıl kabul ettikleri konusunda tartışmalı olabilir. Bu kitabı benden riske atmak isteyen bir yayıncı için yeterince ünlü veya yüksek statü değilim.
Kitap, artan otoriterlik ve büyük teknoloji etkisi arasında dijital güvenliğe hitap ediyor. Bu hassas konulara okuyucular tarafından erişilebilir hale getirmek için nasıl yaklaşıyorsunuz?
Amaçladığım okuyucum, bazıları tam teknoloji meslekleri olacak yetişkinler, diğerleri biraz teknolojiye girebilir. Kitabımın konusu ağır olacak. Ancak, sıradan insanların çok korkutucu deneyimlerinden öğrendikleri, kaynaklardan okudukları haberlerle, özellikle ana akım medyanın dışındaki haberlerle birleştikleri bir ağırlık.
Sadece bir okuyucunun Tiktok veya başka bir şey hakkında yayın yapmak için bilgisayar okuryazarlığına sahip olduğunu varsayacağım. Bu tür şeylerden daha ileri teknolojik kavramlar tanımlanacak ve tanımlanacaktır. Ama kesinlikle şu anda içinde olduğumuz siyasi olarak düşman dünya hakkında hiçbir şey şekerleme yapmayacağım. Birçok pratik tavsiye olacak. Örneğin, alternatif işletim sistemleri, çevrimiçi platformlar ve uygulamalar önereceğim. Çok sayıda OPSEC ipucu olacak. Ayrıca, bir okuyucu karar verirse, bir sosyal medya sitesi veya işletim sisteminden ayrılmalarının mümkün olmadığı, ancak yine de saldırı yüzeylerini yapabildikleri şekilde azaltmaları gereken “zarar azaltma” önerileri sunacağım.
İnsan hakları avukatları ve siber güvenlik uzmanları da dahil olmak üzere çeşitli uzmanlarla işbirliği yaptınız. Bu işbirlikleri kitabınızın içeriğini nasıl şekillendirdi?
Çok önemli. Kurumsal siber güvenlik öğretiyorum. Genellikle işletmelere yardım perspektifinden çok çeşitli siber güvenlik konularını araştırdım ve yazdım. Kişisel OPSEC ve uç nokta güvenliğim muhtemelen çoğu meslekten olmayanlardan çok daha iyi. Ancak en iyi dijital gizlilik uzmanlarının herhangi bir listesinde olmayı hak etmiyorum. Kesinlikle değilim.
Neyse ki en azından bilgim ve geçmişim, gerçek dijital gizlilik uzmanlarıyla kendi dillerinde konuşmamı ve onlara doğru soruları sormamı mümkün kılıyor. Şu anda bana yardım etmeyi kabul eden tüm insanlarla röportaj yapma sürecindeyim. Bu aşamada herkesi teyit edemem. Ancak Wired’den Dell Cameron’un bazı araştırmalarını ve kaynaklarını benimle paylaştığını doğrulayabilirim. Fight for the Future’dan Evan Greer bu hafta başında benimle yararlı bilgiler paylaştı. Ve Eff’den Matthew Guariglia sorularımı ileri yasal uzmanlığıyla cevaplıyor, ancak elbette bu yasal tavsiye değil.
Diğer araştırma kaynaklarım büyük ölçüde beyaz kağıtlar, araştırma raporları, diğer insanların yazdığı kitaplar ve buradan haber raporları, 404 medya ve kablolu.
Araştırmanız sırasında ilk varsayımlarınıza meydan okuyan şaşırtıcı bulgular veya içgörüler var mıydı?
Bu mükemmel bir soru! Şu anda araştırma sürecinin yaklaşık yarısındayım. Her zaman bir kullanıcının kontrolü içindeki bazı güvenlik sertliği ve tamamen kontrollerinin dışında olan birçok güvenlik açığı ve tehdit vardır. Örneğin, bir tıbbi sigorta şirketi, ister beğenip beğenmesek de bizim hakkımızda hassas veri aldığında oldukça çaresiziz ve daha sonra tıbbi verileri ele alma konusundaki gevşek tutumları, insanların yaşamlarını mahveden veri ihlallerini güvenli bir şekilde kolaylaştırır.
Siber güvenlik kariyerime siber saldırılar ve yeni CVES ve kavram kanıtı hakkında haberler bildirerek ciddi bir şekilde başladım. Ancak, bir kullanıcının kontrol edebileceği ile kontrol edemedikleri arasında çizginin çizildiği yerlerde beklemediğim alanlarda. Veri madenciliği, bulut hizmetleri ve tüketici teknolojisi, genellikle daha kötüsü için nasıl değişiyor olabilir.
Dijital gizliliği savunmak ve bireylerin güvenlik önlemlerini uygulamada karşılaştıkları pratik zorluklar arasındaki dengeyi nasıl ele alıyorsunuz?
Yapabileceğim en iyi şey, her büyük saldırı yüzeyi problemine iki farklı yaklaşım sağlamaktır.
Optimal yaklaşım, ortak uygulamaları ve platformları daha fazla niş uygulamalar ve platformlarla değiştirmek, bazı verilerin (PGP aracılığıyla) doğrudan nasıl şifreleneceğini öğrenmek, yazılımı bazen rahatsız edici olabilecek şekillerde yapılandırmak ve kişinin internet kullanım alışkanlıklarını değiştirmek anlamına gelir. Bu daha zor ama daha etkili bir yaklaşımdır ve insanların insanların öğrenebileceği şekilde ihtiyaç duyduğu tüm bilgileri sağlayabildiğim için erişilebilir hale getireceğim.
Daha az en uygun yaklaşım, Windows, Mac, Facebook vb. Kullanmaya devam etmektir. Ancak mümkün olduğunda ayarları değiştirmek ve bu platformları nasıl kullandığında önemli değişiklikler yapmak.
Herkesi RMS gibi yaşamaya ikna edemeyeceğimi çok iyi biliyorum (Richard Stallman, özel koddan kaçınma takıntısı nedeniyle bilgisayarları çok rahatsız edici bir şekilde kullanmakla ünlü). Facebook, Vanilya Chrome ve diğer çeşitli gerçekten riskli alışkanlıklarından vazgeçmek için yedi yıllık romantik ortağımı bile alamıyorum. Bazı zarar azaltma en azından statüko üzerinde bir gelişmedir. Belki bazı okuyucular önce bazı zarar azaltma ile tehlikeli platformları kullanacak ve daha sonra yerleşik TOR işlevselliğine sahip uygulamaları kullanarak ilerleyeceklerdir.
Okuyucuların tehlikeli bir dünyada dijital güvenlikten uzaklaşmasını umduğunuz önemli mesaj nedir?
Varsayılan olarak her şeye ve herkese, özellikle teknoloji ve devlet kuruluşlarına güvenmeyin. Bulut sadece bir başkasının bilgisayarıdır, neredeyse her zaman bir teknoloji devinin mülkiyeti ve tesislerinde işletilen ve işletilen. Deleteme gibi ticari VPN’ler ve hizmetler bazı açılardan yararlı olabilir, ancak güvenlik duruşunuzu iyileştirmeyi vaat eden bir teknoloji şirketine otomatik olarak güvenemezsiniz. Örneğin, düzgün kullanılan ticari bir VPN hizmeti, geçişteki verilerinizi harici siber saldırganlar için çok daha az erişilebilir hale getirecektir. Ancak güvenilmez bir teknoloji şirketi, İnternet trafiğinizin ve ilgili günlüklerinizin şifre çözme anahtarlarına sahiptir ve bu erişimi etik şekillerde kullanmayabilir.
Bunu sadece teknolojiyi nasıl kullandığımızla daha iyi hale getirerek ve birbirlerine bakmak için perde arkasında birbirleriyle güçlerini birleştirerek hayatta kalacağız. Ayrıca organize etmemiz gerekiyor. Hiçbir koşulda bu organizasyon kamusal internette yapılmamalıdır.
Tehlikeli bir dünyada dijital güvenlik – Kickstarter’a alın!