Det har vært mye jammer og tenners gnissel om Sisyphean oppgaven med å beskytte personvern i den Digitale Tidsalderen, men det har ikke stoppet innovatører fra leter etter måter å bevare den. En av de nyeste ideer til å dukke opp i feltet er Personvern som en Tjeneste.
Som med mange nye teknologier, definisjonen av “PaaS” (noe som utvilsomt vil være forvirret med Plattform som en Tjeneste) er i forandring.
Den
Defense Advanced Research Projects Agency ser PaaS som en måte å dele data trygt og sikkert mens du bevare personvernet. I slutten av DARPA har lansert sin Brandeis programmet, som har som mål å utvikle verktøy og teknikker for å bygge systemer som begrenser bruken av private data for et formål, og ingen andre.
“For tiden, de fleste forbrukere ikke har effektive mekanismer for å beskytte sine egne data, og hvem vi deler data er ofte ikke effektiv på å gi tilstrekkelig beskyttelse,” DARPA Program Manager John Launchbury sa.
“Målet av Brandeis programmet er å bryte spenningen mellom opprettholde personvernet, og å være i stand til å tappe inn i den enorme verdien av data,” fortsatte han. “Heller enn å måtte balansere disse offentlige goder, Brandeis har som mål å bygge et tredje alternativ, slik at trygg og forutsigbar deling av data mens du er pålitelig bevare personvernet.”
Eieren Bestemmer Bruk
For eksempel, DARPA siste måned tildelt US$6.3 millioner kontrakt
Galois for utviklingen av selskapets Jana programmet som en PaaS pilot.
Jana er et tverrfaglig samarbeid mellom Galois, University of Bristol, Rutgers University og George Mason-Universitetet som mål å gi en praktisk gjennomføring av private data som en tjeneste, som ville gi data for å være beskyttet mot overgrep og samtidig beholde sin verktøyet til å analytikere, selskapet sa.
Bidratt med data alltid er kryptert, selv før det forlater sin eier er i besittelse av, Galois sa. Søkeresultater er begrenset av hvor mye data som eieren er villig til å avsløre, til hvem og når.
Avkrefte, som nylig dukket opp fra stealth-modus, har et annet syn på PaaS.
Metadata Sårbare
En av barrierene for godt personvern er bruk av statiske infrastruktur for å beskytte data, i henhold til Avkrefte administrerende DIREKTØR Ethan Schmertzler.
Selv når disse reiser på et nettverk som er kryptert, dets metadata — data som identifiserer egenskaper om de krypterte dataene — er det ikke. Det, kombinert med det faktum at dataene er inngang og utgang poeng kan bli spådd i en statisk infrastruktur, setter personvern av dataene er eier i fare.
“Hvis du har nok metadata, trenger du ikke innholdet i hva som er sendt,” Schmertzler fortalte TechNewsWorld.
“Metadata-beskyttelse er noe som egentlig ikke har vært i stand til å bli produsert. Vpn [virtuelle private nettverk] ikke beskytte deg, fordi noen kan se innganger og utganger fordi de er statiske, faste mål,” sa han.
“Tor er ikke noe bedre fordi du er du levere informasjon, sammen med metadata, ut til fremmede, og de fleste av dem på dette punktet er offentlige etater eller dårlige skuespillere,” Schmertzler lagt til.
Gjemmer seg i Vanlig Skue
Hva Avkrefte gjør, er å gjøre det vanskeligere for en angriper å ta metadata på inngang og utgang poeng for en overføring. Uten både sett av metadata, at det går en data eieren er personvern blir veldig utfordrende.
“Vi la folk skjul i vanlig syn,” Schmertzler sa.
Avkrefte gjør det ved å bygge et flyktig nettverk. Det dynamisk sett ups virtuelle maskiner med cloud tilbydere over hele verden. Fordi disse maskinene er i endring hele tiden, det hindrer angriperne å identifisere hvor folk kommer inn og ut av Avkrefte nettverk.
“Som et resultat, kan vi beskytte metadata-og vi har også to lag av kryptering på toppen av at å holde alle data sikre,” Schmertzler lagt til.
I tillegg til sin “usynlige tilkoblinger” produkt, Avkrefte tilbyr også “usynlige datamaskiner” til sine kunder.
Disse datamaskinene er virtuelle datamaskiner som kjører på Avkrefte infrastruktur. De er helt sandboxed slik at skadelig programvare kan du aldri ta en brukers datamaskin, og de er lett tilgjengelig via Chrome eller Firefox Web-lesere.
“Hva den usynlige datamaskiner oppnå for du er virtuelle luft-gap computing,” Schmertzler sa, “så kan du gjøre ditt arbeid på dem gjennom nettleseren din, og når du er ferdig, kan vi ødelegge infrastruktur, så det er ingenting igjen.”
Enterprise Appell
Mens DARPA ser på Personvern som en Tjeneste som en teknologi for alle, Avkrefte ‘ s modell som kan få den mest trekkraft i den umiddelbare fremtid.
“Jeg er ikke sikker på at min krystallkule er noe klarere enn noen andre. Men jeg har en mistanke om Personvern som en Service som vil appellere mest til business-brukere, først og fremst små og mellomstore bedrifter som har behov for personvern — forsikring agenter, investeringer fagfolk, regnskap bedrifter, skatt preparers, advokater, noen medisinske fagfolk og mer,” sa
Personvern Blogg forfatter Dick Eastman.
“Større selskaper som har sin egen IT-avdeling vil finne sine egne løsninger,” fortalte han TechNewsWorld.
“Privatpersoner har også et behov for privatliv tjenester, men de fleste av dem ikke vet det ennå,” Eastman fortsatte.
“Som personvern vokse og populære medier publiserer flere og flere historier om personvern og spesielt om personvern brudd, vil de til slutt innser behovet,” sa han. “Men det vil ikke skje dette året.”
PrivaTegrity er Kompromiss
Online anonymitet pioneer
David Chaum i forrige uke vist en spennende kompromiss til konflikt mellom sterk kryptering advokater og politi i den Virkelige Verden Crypto Konferanse ved Stanford University.
Ikke bare har ordningen ring for en forseggjort arbeidsflyt for å kryptere data, det inkluderer også en måte å knekke systemet er kryptering for å kjempe ugjerningsmennene.
Systemet kalles PrivaTegrity er bygget på ni-servere plassert rundt om i verden.
Når PrivaTegrity er installert på et endepunkt, app etablerer en serie av tastene med hver server. Tastene brukes til å kryptere meldinger sender enheten.
Krypterte meldinger som er sendt til alle de ni servere. Som en server mottar dem, den deler ut sin hemmelige nøkkel og multipliserer data ved et tilfeldig nummer.
Etter at meldingene blir sendt gjennom servere en gang. Denne gangen de er blandet sammen i grupper, rekkefølgen på de meldinger i bunker er randomisert, og deretter meldingene er multiplisert med en annen tilfeldig tall.
Deretter meldingene sendes gjennom server-nettverk igjen, de tilfeldige tallene er delt ut og erstattes med unike nøkler til mottakeren av en melding, som bruker dem til å dekryptere meldingen.
Alle Som Ikke Fornøyd
Mens PrivaTegrity går til store lengder for å beskytte data som passerer gjennom den, det inkluderer også en måte å dekryptere data uten eierens tillatelse.
En slik bevegelse, men ville kreve samarbeid fra alle ni server-administratorer. “Det er som en bakdør med ni forskjellige padlocks på det,” Chaum fortalte Wired magazine.
Inkludering av en bakdør av noe slag er ikke sannsynlig å vinne favør med talsmenn for sterk kryptering, og behovet for å få godkjenning fra ni myndigheter i ulike deler av verden for å få tilgang til bakdør er ikke sannsynlig å vinne rave merknader fra politi heller. (FBI, gjennom talsmann Chris Allen, nektet å kommentere Chaum forslag for denne kolonnen.)
“Når Chaum sier dette kommer til å avslutte crypto kriger, det er som slutter det med en total seier for den ene siden,” sa Yorgen Edholm, administrerende DIREKTØR i
Accellion.
“Denne ordningen ville gjøre det mye vanskeligere for selv NSA å knekke informasjon,” fortalte han TechNewsWorld.
“Dette ikke løser problemet folk ønsker at det skal løse,” Edholm lagt til. “Det kommer ikke til å gjøre de gode gutta glade og de slemme gutta ulykkelig. Det er en total seier for personvernet personer, og politiet vil være ulykkelig.”
Brudd Dagbok
- Jan. 4. Advokatfirmaet Mintz Levin rapporter et Massachusetts Superior Court dommer har gjort det mulig for pasienter å saksøke et medisinsk senter for pengene erstatningskrav basert utelukkende på eksponering av helse opplysninger i et datainnbrudd.
- Jan. 5. The Federal Trade Commission kunngjør at Henry Schein Practice ” – Løsninger vil betale $250,000 å bosette FTC-avgifter som det feilaktig annonsert styrken på krypteringen bruker for å beskytte pasienten data.
- Jan. 4. Den nederlandske executive skap problemer med en sterk uttalelse mot svekkelse kryptering for å hjelpe politi og intelligence agency undersøkelser.
- Jan. 5. De Regionale Skatt Agency of Ohio avslører at personlig informasjon om så mange som 50.000 mennesker i Ohio er i fare etter å ha oppdaget at en DVD som inneholder kommunal skatt dokumenter som er arkivert på eller før 2012 var savnet.
- Jan. 5. Cloud hosting service Linode tilbakestiller alle kundens passord etter å oppdage uautoriserte pålogginger på tre kontoer. Tjenesten har vært under konstant DDoS-angrep siden Desember. 24.
- Jan. 5. Kanadiske Bak Adm. John Newton sier en hendelse der en sivilt ansatt lastet opp mer enn 1000 hemmelige dokumenter til et gradert nettverk ikke utgjør en trussel mot militær etterretning.
- Jan. 5. En ny administrative personalet er utnevnt på Hellgate High School i Missoula, Montana, etter at e-post som inneholder sensitive faglige, medisinske, disiplinær-og straffesaker informasjon om hundrevis av studenter ved et uhell ble sendt til 28 foreldre.
- Jan. 6. Uber Teknologier samtykker i å betale $20 000 og vedta strengere kontroller på hvordan det håndterer sensitive data til å bosette seg på en etterforskning av sin personvernpraksis av New York justisministeren. Sonden ble lansert etter Uber rapportert 2014 datainnbrudd som utsettes data på 50 000 av sine sjåfører.
- Jan. 7. Time Warner Cable rapporter så mange som 320,000 av sine kunder kan ha hatt sine e-post og passord stjålet. Selskapet sier sine systemer ikke var brutt, og at informasjonen ble samlet fra kundene selv eller tredjeparter å lagre Time Warner data.
- Jan. 7. Etihad Airways annonserer det er etterforske en har rapportert brudd på sine systemer der personlig informasjon på 7.000 kunder ble stjålet.
- Jan. 7. iSight-Partnere, en trussel intelligence selskapet, hevder russiske hacking gruppen Sandworm var bak en cyberattack i Ukraina i desember at kutte strøm til 80 000 elektrisk kunder i seks timer.
- Jan. 8. Finland annonserer det vil extradite til Usa Maxim Senakh, en russisk statsborger som er tiltalt i Minnesota for å infisere datamaskinen servere med malware, noe som resulterer i kriminelle gevinster verdt millioner av dollar.
Kommende Sikkerhetshendelser
- Jan. 14. PrivacyCon. Grunnloven Sentrum, 400 7th St. SW, Washington, D.C. Sponset av Federal Trade Commission. Gratis.
- Jan. 16. B-Sider New York City. John Jay College of Criminal Justice, 524 Vest 59th St., New York. Gratis.
- Jan. 18. B-Sider Columbus. Leger Sykehus Vest, 5100 W Bred St., Columbus, Ohio. Registrering: $25.
- Jan. 21. Fra Skadelig å Utilsiktede — Bekjempe Insider Trusler. 1:30 pm ET. Webinar sponset av MeriTalk, DLT, og Symantec. Gratis registrering.
- Jan. 22. B-Sider Lagos. Sheraton Hotell, 30 Mobolaji Bank Anthony Måte, Airport Road, Ikeja, Lagos, Nigeria. Gratis.
- Jan. 26. Cyber Security: The Business View. 11 am CET. Mørk Lesing webinar. Gratis registrering.
- Jan. 28. Forståelse Malware Lateral Spredning Brukes i Høy Verdi Angrep. Noon ET. Webinar sponset av Cyphort. Gratis registrering.
- Jan. 28. State of the Phish-En 360-Graders Utsikt. 1 pm ET. Webinar sponset sponset av Wombat sikkerhetsteknologier. Gratis registrering.
- Feb. 4. 2016 årlige global Infrastruktur Security Update. 11 am CET. Webinar sponset av Arbor Networks. Gratis registrering.
- Feb. 5-6. B-Sider Huntsville. Dynetics, 1004 Explorer Blvd., I Huntsville, Alabama. Gratis.
- Feb. 9. Start Med Sikkerhet. University of Washington Law School, 4293 Memorial Måte NE, Seattle. Sponset av Federal Trade Commission. Gratis.
- Feb. 11. SecureWorld Charlotte. Charlotte Konferansesenter, 501 Sør College, St., Charlotte, North Carolina. Registrering: konferanse pass, $195; SecureWorld Plus, $625; utstillinger og åpne økter, $30.
- Feb. 16. Architecting den Hellige Gral av Network Security. 1 pm ET. Webinar sponset av Toppene Sikkerhet. Gratis registrering.
- Feb. 20. B-Sider Seattle. Commons Mikser Bygning, 15255 NE 40th St., Redmond, Washington. Billetter: deltaker, $15 pluss $1.37 avgift; super awesome donor deltaker, $100 pluss $3.49 avgift.
- Feb. 29-Mars 4. RSA USA 2016. Moscone Center, 747 Howard St., San Francisco. Registrering: hele konferansen pass før Jan. 30, $1,895; før Feb. 27, $2,295; etter Februar. 26, $2,595.
- 18. mars. Gartner Identity and Access Management Summit. I London. Registrering: før Jan 23, 2,225 euro pluss MOMS, og etter Jan. 22, 2,550 euro pluss MOMS; offentlig sektor. $1,950, – pluss MVA.
- Juni 13-16. Gartner Sikkerhet Og Risikostyring Toppmøtet. Gaylord National Resort & Convention Center, 201 Waterfront St., National Harbor, Maryland. Registrering: før April 16, $2,950; etter April 15, $3,150; offentlig sektor, $2,595.
