fbpx
Skip to content
Heim » Blogg um netöryggi » Heilræði » Hvað er FUD?

Hvað er FUD?

Netöryggi. Hvað er FUD?

Formáli


Hvað er FUD? Þetta er það sem kallast á ensku Fear, Uncertainty and Doubt og myndi þýðast sem Ótti, Óvissa og Efi. Eða í einu orði “hræðsluáróður”. Þar sem þessi grein er þýðing á enskum bloggpósti sem við póstuðum á ensku síðunni okkar þá höldum við okkur bara við FUD.

Inngangur

Í þessari grein fjalla ég um FUD, hvers vegna það er vandamál, hvernig hægt er að greina það og hvað hægt er að gera í því.

Hvað er þá FUD?

FUD stendur fyrir Fear, Uncertainty, and Doubt og er hugtak yfir ráð eða fullyrðingar sem gera ekkert annað en að dreifa ótta, óvissu og efa. Þetta er einnig stundum kallað að ala á ótta eða hræðsluáróður.

Þegar maður kynnist FUD er það eins og hálfgert rýtingsráð. Það var oftast tæknilega mögulegt, ef ekki núna, þá fyrir að minnsta kosti 20 árum. Það er oft eitthvað sem á ekki lengur við eða aðeins við um mjög lítinn hluta samfélagsins. Í mörgum tilfellum er það ekkert nema hreinn og beinn hræðsluáróður.

Hvernig er tekið á FUD?

Þegar kemur að góðum öryggisráðum, ólikt FUD, þá skiptir samhengi og góð ógnarlíkangerð (e. Threat modeling) miklu máli. Það eru mjög fá tilfelli sem eru algild eða að ein stærð henti öllum. Í grein okkar um boðorðin tíu er fjallað um flest af þeim, jafnvel þau sem eiga ekki alltaf við. Þegar ég tala um ógnarlíkangerð þá er ég að tala um ferli sem við förum öll ómeðvitað í gegnum milljón sinnum á dag. Við erum öll meðvituð um hvað er ógn og hvað ekki. Ógnarlíkangerð er það ferli að skrá meðvitað og af ásettu ráði hvað ógnar okkur. Kyn þitt, starf, hvar þú býrð og hvern þú elskar spilar þar inn í. Eins og kom fram í greininni um áhættu- og ógnarstjórnun þá er þetta einstakt fyrir hvern og einn og það er engin rétt eða röng leið.

Gagnrýnin hugsun er mikilvægasta tækið til að berjast gegn FUD og um leið að vera öruggur á netinu. Það er miður hvað það er erfitt að velja FUD með öllum þeim ógnum sem eru til staðar. Besta ráðið sem ég get gefið er að nota innsæið. Með öðrum orðum; ef það meikar ekki sens þá skaltu biðja um frekari upplýsingar. Einnig að reyna að fá ráðin frá fleiri en einum aðila. Þeir sem dreifa FUD eru yfirleitt mjög sparir á smáatriðin og eru of einfaldir og almennir. Ef þeir geta ekki útskýrt af hverju eitthvað er áhætta þá er það líklega FUD.

Vinsælt FUD

Tvö helstu FUD sem eru í umferð í dag eru að nota alltaf VPN og aldrei að nota opinberar hleðslustöðvar. Ég útskýri þau hér:

Alltaf að nota VPN – Afsannað

Byrjum á FUD um VPN. Einu sinni voru allar tengingar við vefsíður ódulkóðaðar í ríki sem var ekki svo langt í burtu. Þetta gerði það að verkum að það var lítið mál að njósna um umferðina á vefnum. Maður sá nákvæmar upplýsingar um bankareikninginn, innihald tölvupósta o.s.frv. Það var jafnvel tiltölulega auðvelt að hlera og breyta umferðinni. Þetta var vegna galla í upphaflegu samskiptareglunum sem tölvan þín notaði til samskipta við vefþjóninn. Nafnið á þessari samskiptareglu er Hyper Text Transfer Protocol eða HTTP. Eina lausnin á þessum tíma var að nota þjónustu sem heitir VPN (Virtual Private Network) sem bjó til dulkóðuð göng til að fela umferðina.

Þeir leystu þetta vandamál fyrir áratug eða tveimur með tilkomu HTTPS samskiptareglunnar, svo núna er þetta ráð algjört FUD. Það er búið að bæta öryggi ofan á gömlu HTTP samskiptaregluna og nú er þetta stig innbrota mun erfiðara. Nema þú þvingir tenginguna aftur í gömlu samskiptaregluna, sem gerir notandanum viðvart, þá safnar það bara saman þeim síðum sem notandinn er að heimsækja. Þetta getur samt verið vandkvæðum bundið fyrir ákveðin ógnarsnið (e. threat profile). Burtséð frá ógnarsniði ef þú ert að sörfa á vefnum og færð viðvörun um að vefurinn sé ekki öruggur, þá skaltu vera mjög viss um að þú vitir hvað þú ert að gera áður en þú heldur áfram.

Gildar ástæður til að nota VPN

Ef ógnarsnið þitt kallar á aðgætni varðandi það hver er að safna upplýsingum um hvaða síður þú ert að nota, eða þú ert bara mjög meðvitaður um friðhelgi einkalífsins, þá getur VPN verið góð lausn fyrir þig. Þú þarft samt að vera mjög viss um að VPN þjónustan sem þú notar sé ekki að safna neinum gögnum um þig. Með því að nota VPN ertu einfaldlega að yfirfæra traustið. Ef þú treystir ekki netinu sem þú ert á núna, þá getur þú notað VPN þjónustur sem þú treystir og það eina sem núverandi net getur séð er að þú sért að nota VPN.

VPN þjónustan sér hins vegar allt og þú myndir ekki einu sinni vita það. Þess vegna er afar mikilvægt að treysta VPN þjónustunni. Sýnt hefur verið fram á að langflestar VPN þjónustur eru ekkert nema gagnasöfnunartól þrátt fyrir öll loforð. Það eru einmitt tvær VPN lausnir sem ég treysti til að standa við loforð um að safna ekki gögnum: Proton VPN frá Sviss og VPN netþjónn sem ég smíðaði sjálfur.

Annað gilt notkunartilfelli er ef þú þarft að fela uppruna þinn til að komast í kringum landfræðilegan aðgang. Í þessu notkunartilfelli ætti það umfang einkalífs sem krafist er að passa við daglegar kröfur um einkalíf. Ef þér líður vel með að VPN þjónustan safni persónugreinandi skrám um það sem þú ert að gera á meðan þú ert tengdur við VPN-ið þeirra, þá getur þú notað hvaða VPN sem þú vilt. Bara að vita að VPN þjónustan gæti verið að selja allar gagnamiðlanir í heiminum þessar skrár. Fyrir þetta VPN-notkunartilfelli myndi ég samt nota veitanda sem ég veit að er ekki að skrá mig, þó ég sé ekki mjög persónumeðvituð manneskja.

Aldrei nota almennings hleðslustöðvar fyrir símann – afsannað

Næsta atriði er varðandi hleðslustöðvar. Þar er einnig byrjað á „Einu sinni var ég í ríki sem var ekki svo langt í burtu.“ Í árdaga snjallsíma gerðu sumir símar ekki greinarmun á hleðslu og gagnaflutningi. Það gerði það að verkum að hægt var að búa til hleðslustöð sem var í raun að stela öllum gögnum tækisins. Bæði Android og iOS leystu þetta fyrir mörgum árum síðan, við erum að tala um meira en áratug síðan. Núna, ef þú tengir símann við tölvuna þína, þá gerir síminn ráð fyrir að þú sért bara að hlaða. Ef þú vilt í raun flytja gögn með tölvunni þinni, þá þarftu að leiðbeina símanum þínum að skipta úr hleðsluham yfir í gagnaham.

Það sem er sorglegt við þessa mynd er að jafnvel bandaríska alríkislögreglan er að dreifa þessu. Þegar þeir voru ákærðir svöruðu þeir ekki með upplýsingum um hvers vegna þeir væru að dreifa þessu.

Annars konar FUD

Síðasta dæmið um FUD sem ég vil ræða hljómar ágætlega á yfirborðinu þar til maður fer að hugsa það gagnrýnið. Það er að segja „ekki skanna QR-kóða“. QR-kóðar eru ekkert annað en þægileg leið til að slá inn slóðir, eða tengla. Eins og þú ættir ekki að smella á tenglaán þess að vita hvað þú ert að smella á, þá ættir þú ekki að skanna QR-kóða án þess að vita það.

Ráðleggingin um að skanna aldrei neina QR-kóða er álíka skynsamleg og að smella aldrei á neina tengla, það er einfaldlega ekki raunhæft. Þarna kemur gagnrýnin hugsun inn í. Auk þess skiptir traust þitt á uppruna tengilsins/ QR-kóðans máli. Ef þú ert á vörusýningu og þiggur og borðar köku eða sælgæti frá seljandanum, en neitar að skanna QR-kóðann þeirra, þá ertu að sýna fram á mjög slæmar ákvarðanir. Þú heldur að kakan sé ekki eitruð, en QR-kóðinn sé það? Það væri skynmsamlegra að neita hvoru tveggja eða þiggja hvoru tveggja.

Efnisorð: