Tech

Cryptocurrency ไม่เป็นส่วนตัว—แต่ด้วยความรู้ มันอาจจะ

คงไม่มีความเป็นส่วนตัวและความปลอดภัยในโลกออนไลน์ที่สมบูรณ์แบบ แฮ็กเกอร์มักจะละเมิดไฟร์วอลล์ขององค์กรเพื่อขอข้อมูลส่วนตัวของลูกค้า และนักต้มตุ๋นก็พยายามหลอกล่อให้เราเปิดเผยรหัสผ่านอยู่เสมอ แต่เครื่องมือที่มีอยู่สามารถให้ความเป็นส่วนตัวในระดับสูง—ถ้า เราใช้อย่างถูกต้อง Mashael Al Sabah นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่สถาบันวิจัยคอมพิวเตอร์กาตาร์ในโดฮากล่าว

เคล็ดลับคือการทำความเข้าใจบางอย่างเกี่ยวกับจุดอ่อนและข้อจำกัดของเทคโนโลยี เช่น บล็อกเชนหรือใบรับรองดิจิทัล และไม่ใช้ในลักษณะที่อาจส่งผลต่อการออกแบบของผู้โจมตีหรือผู้สร้างมัลแวร์ ความเป็นส่วนตัวที่ประสบความสำเร็จคือ “การทำงานร่วมกันระหว่างเครื่องมือและผู้ใช้” Al Sabah กล่าว มันต้อง “ใช้เครื่องมือที่ถูกต้องในทางที่ถูกต้อง” และการทดสอบเทคโนโลยีใหม่สำหรับความเป็นส่วนตัวและความยืดหยุ่นในการรักษาความปลอดภัยนั้นต้องการสิ่งที่เธอเรียกว่า “กรอบความคิดด้านความปลอดภัย” ซึ่ง Al Sabah อธิบายว่าจำเป็นในการประเมินเทคโนโลยีใหม่ . “คุณคิดว่าการโจมตีแบบต่างๆ ที่เคยเกิดขึ้นก่อนหน้านี้และอาจเกิดขึ้นได้ในอนาคต และคุณพยายามระบุจุดอ่อน ภัยคุกคาม และเทคโนโลยี”

มีความเร่งด่วนที่จะ เข้าใจมากขึ้นว่าเทคโนโลยีทำงานอย่างไรกับเทคโนโลยีที่ถูกกล่าวหาว่าไม่ระบุชื่อ “ผู้คนไม่สามารถเป็นอิสระได้หากปราศจากความเป็นส่วนตัว” Al Sabah โต้แย้ง “เสรีภาพสำคัญต่อการพัฒนาสังคม” และในขณะที่นั่นอาจจะดีและดีสำหรับคนใน Silicon Valley ที่หมกมุ่นอยู่กับคริปโตเคอเรนซีล่าสุด ความสามารถในการสร้างโครงสร้างเงินทุนสำหรับทุกคนนั้นเป็นส่วนหนึ่งของจุดสนใจของเธอ Al Sabah อธิบายว่า “นอกเหนือจากความเป็นส่วนตัวแล้ว Cryptocurrency ยังช่วยสังคมได้ โดยเฉพาะสังคมที่มีโครงสร้างพื้นฐานทางการเงินที่ยังไม่พัฒนา” ซึ่งเป็นสิ่งสำคัญเพราะ “มีสังคมที่ไม่มีโครงสร้างพื้นฐานทางการเงิน”

อัลซาบาห์สร้างความกระฉับกระเฉงในสื่อในปี 2561 โดยร่วมเขียนบทความที่แสดงให้เห็นว่าธุรกรรม Bitcoin เป็น ไม่ระบุตัวตนน้อยกว่าที่ผู้ใช้ส่วนใหญ่คิด ในการศึกษานี้ Al Sabah และเพื่อนร่วมงานของเธอสามารถติดตามการซื้อที่เกิดขึ้นในเว็บไซต์ “เว็บมืด” Silk Road ของตลาดมืด ย้อนกลับไปที่ข้อมูลระบุตัวตนที่แท้จริงของผู้ใช้ โดยการเลือกผ่านบล็อกเชน Bitcoin สาธารณะและบัญชีโซเชียลมีเดียสำหรับข้อมูลที่ตรงกัน ไม่นานมานี้ Al Sabah ยังได้ศึกษารูปแบบฟิชชิ่งและวิธีตรวจจับและหลีกเลี่ยง

“ขณะนี้ผู้ใช้มีความตระหนักมากขึ้นถึงความสำคัญของความเป็นส่วนตัวของพวกเขา” Al Sabah กล่าว . และนั่นจำเป็นต้องพัฒนาไปสู่การสอนแนวปฏิบัติด้านความปลอดภัยที่ดีที่สุด “ดังนั้น แม้ว่าเราจะไม่สามารถหยุดการโจมตีใหม่ๆ ได้ เราสามารถทำให้พวกเขามีประสิทธิภาพน้อยลงและยากที่จะบรรลุผลได้โดยปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุด”

Business Lab เป็นเจ้าภาพโดย Laurel Ruma ผู้อำนวยการกองบรรณาธิการ ของ Insights แผนกเผยแพร่ที่กำหนดเองของ MIT Technology Review การแสดงนี้เป็นผลงานของ MIT Technology Review โดยได้รับความช่วยเหลือจาก Collective Next

พอดคาสต์นี้จัดทำขึ้นร่วมกับมูลนิธิกาตาร์

แสดงหมายเหตุและลิงก์

ข้อเสนอยา Bitcoin ที่เลอะเทอะของคุณจะหลอกหลอนคุณเป็นเวลาหลายปี Wired, 26 มกราคม 2018

ยา darknet ยุคแรกของคุณซื้อ ได้รับการเก็บรักษาไว้ตลอดไปใน blockchain รอที่จะเชื่อมต่อกับตัวตนที่แท้จริงของคุณ ” Boing Boing, 26 มกราคม 2018

ในตะวันออกกลาง ผู้หญิงกำลังฝ่าเพดาน STEM ” The New York Times สนับสนุนโดยมูลนิธิกาตาร์

ใบรับรองผลการเรียนฉบับเต็ม

Laurel Ruma: จาก MIT Technology Review ฉันคือ Laurel Ruma และนี่คือ Business Lab: การแสดงที่ช่วย ผู้นำธุรกิจเข้าใจถึงเทคโนโลยีใหม่ ๆ ที่ออกมาจากห้องแล็บและ i สู่ตลาด หัวข้อของเราในวันนี้คือการเพิ่มความเป็นส่วนตัวและความปลอดภัยทางไซเบอร์ ตอนนี้เป็นคำพูดเก่า ๆ แต่ในอินเทอร์เน็ตเคยเป็นอย่างนั้น ไม่มีใครรู้ว่าคุณเป็นสุนัขหรือไม่ แต่นั่นไม่เป็นความจริงเลย นักวิจัยด้านความปลอดภัยทางไซเบอร์สามารถติดตามผู้คนผ่านการทำธุรกรรมที่ไม่ระบุตัวตนก่อนหน้านี้ เช่น Bitcoin, blockchain และ Tor

เป็นไปได้ไหมที่จะสร้างเครือข่ายการชำระเงินและการสื่อสารที่ปลอดภัยและไม่เปิดเผยตัว ?

สองคำสำหรับคุณ: รอยเท้าดิจิทัล หรือรอยเท้า?

แขกของฉันในวันนี้คือ Dr. Mashael Al Sabah ซึ่งเป็นนักวิทยาศาสตร์อาวุโสที่สถาบันวิจัยคอมพิวเตอร์กาตาร์ Dr. Al Sabah วิจัยความปลอดภัยเครือข่ายและเทคโนโลยีเพิ่มความเป็นส่วนตัว สกุลเงินดิจิทัล และเทคโนโลยีบล็อกเชน เธอเป็นศาสตราจารย์ด้านวิทยาการคอมพิวเตอร์ที่มหาวิทยาลัยกาตาร์ และงานวิจัยของเธอในหัวข้อนี้ได้รับการตีพิมพ์ใน Wired, Boing Boing และวารสารวิชาการ Business Lab ในตอนนี้จัดทำขึ้นร่วมกับมูลนิธิกาตาร์ ยินดีต้อนรับ Dr. Al Sabah.

Mashael Al Sabah: ขอบคุณที่มีฉัน

ลอเรล: ดังนั้น ในฐานะนักวิจัยด้านความปลอดภัยทางไซเบอร์ คุณช่วยอธิบายได้ไหมว่า คุณทำงาน? ดูเหมือนว่าคุณจะเริ่มต้นด้วยการระบุจุดอ่อน แสดงให้เห็นว่าช่องโหว่นั้นสามารถใช้ประโยชน์ได้อย่างไร จากนั้นจึงเสนอการป้องกันหรือมาตรการรับมือ ถูกต้องไหม

Mashael: ใช่ โดยทั่วไปแล้ว มีเส้นทางที่สร้างแรงบันดาลใจมากมายสำหรับแนวคิดหรือหัวข้อการวิจัยบางอย่าง . ตัวอย่างเช่น คุณอาจได้ยินเกี่ยวกับเทคโนโลยีใหม่ ๆ และเมื่อคุณอยากรู้เกี่ยวกับเทคโนโลยีนั้น และเมื่อคุณพูดคุยและเรียนรู้เกี่ยวกับเทคโนโลยีนี้กับเพื่อนร่วมงานของคุณ แนวคิดด้านความปลอดภัยก็เริ่มเข้ามามีบทบาท และคุณเริ่มมีคำถามเกี่ยวกับความปลอดภัยและความเป็นส่วนตัว และ ถ้ามันเป็นไปตามที่สัญญาไว้จริงๆ จากนั้นสิ่งนี้นำไปสู่การทดลองเพื่อตอบคำถามเหล่านี้ และจากข้อมูลเชิงลึกและการสังเกตที่เราได้รับจากการทดลอง คุณอาจจะคิดวิธีแก้ปัญหาหรือคุณดึงความสนใจของผู้คนมาที่มัน อีกเส้นทางหนึ่งคือบางครั้งเราทำการวิจัยโดยพิจารณาจากปัญหาของผู้มีส่วนได้ส่วนเสียของเราเกี่ยวกับความยากลำบากและปัญหาที่แท้จริงที่พวกเขามี ตัวอย่างเช่น พันธมิตรบางรายของเรามีข้อมูลจำนวนมหาศาล และในฐานะสถาบันระดับชาติ หน้าที่และหน้าที่ของเราในการรับฟังปัญหาการวิจัยของพวกเขาและคิดค้น หรือแม้แต่สร้างโซลูชันภายในองค์กรเพื่อช่วยให้พวกเขาตอบสนองความต้องการของพวกเขา

ลอเรล: คุณพูดถึงกรอบความคิดด้านความปลอดภัย คุณนิยามมันว่าอย่างไร

Mashael: ดังนั้น เมื่อคุณได้ยินเกี่ยวกับเทคโนโลยี คุณจะเริ่มถามคำถาม เป็นไปตามข้อกำหนดที่สัญญาไว้หรือไม่? มันรักษาความลับของข้อมูลหรือไม่? ปกป้องความเป็นส่วนตัวของผู้ใช้ตามที่อ้างสิทธิ์หรือไม่ และคุณคิดว่าการโจมตีแบบต่างๆ ที่เกิดขึ้นก่อนหน้านี้และที่อาจเกิดขึ้นได้ในอนาคต และคุณพยายามระบุจุดอ่อนและภัยคุกคาม และเทคโนโลยี

ลอเรล: การวิจัยของคุณมุ่งเน้นไปที่ส่วนต่างๆ ของอินเทอร์เน็ตที่สร้างขึ้นเพื่อปกป้องความเป็นส่วนตัวออนไลน์ของผู้ใช้และการไม่เปิดเผยตัวตน เช่น บล็อกเชนและทอร์ ซึ่งเป็นเครือข่ายการสื่อสารที่ไม่เปิดเผยตัวตน และการป้องกันเหล่านั้นอาจไม่เป็นเช่นไร แข็งแกร่งอย่างที่คนคิด คุณค้นพบอะไร

Mashael: การบรรลุความเป็นส่วนตัวที่ประสบความสำเร็จต้องใช้เครื่องมือที่เหมาะสมในทางที่ถูกต้องเพราะเป็นการทำงานร่วมกัน ระหว่างเครื่องมือและผู้ใช้ หากผู้ใช้ใช้เครื่องมือไม่ถูกต้อง พวกเขาจะไม่ได้รับหลักประกันความเป็นส่วนตัวหรือความปลอดภัยตามที่สัญญาไว้ ตัวอย่างเช่น หากคุณกำลังเรียกดูหน้าใดหน้าหนึ่งและเบราว์เซอร์ของคุณเตือนเกี่ยวกับใบรับรองที่หมดอายุ แต่คุณยังคงเชื่อมต่ออยู่ แสดงว่าคุณมีความเสี่ยง ในโครงการวิจัยโครงการหนึ่งของเรา เราพบว่าแม้ว่าตัวอย่างเช่น Tor ให้การรับประกันความเป็นส่วนตัวและการปกปิดตัวตนที่แข็งแกร่ง แต่การใช้ร่วมกันกับ Bitcoin สามารถขัดขวางความเป็นส่วนตัวของผู้ใช้แม้ว่า Bitcoin จะเริ่มได้รับความนิยมเจ็ด หลายปีก่อนหรือนานกว่านั้น จุดขายอย่างหนึ่งของมันคือให้ความเป็นส่วนตัวสูง

ลอเรล: อืม ดังนั้นจึงเป็นเรื่องที่น่าสนใจที่เครือข่ายที่มีความปลอดภัยมากขึ้นจะถูกบุกรุกเพราะคุณเพิ่มสิ่งที่ดูเหมือนเป็นเครือข่ายที่ปลอดภัย เมื่อรวมปัจจัยทั้งสองเข้าด้วยกันแล้ว

Mashael: ใช่ Tor ใช้ Tor เพียงอย่างเดียว มันให้การรับประกันความเป็นส่วนตัว แต่จากนั้นคุณใช้มันกับ Bitcoin คุณเปิดบางช่อง ช่องที่ถูกบุกรุก

ลอเรล: คุณช่วยพูดคุยเกี่ยวกับการวิจัยของคุณเกี่ยวกับผู้ที่ใช้ Bitcoin และธุรกรรมที่ผ่านมาของพวกเขาหน่อยได้ไหม ตัวอย่างเช่น เพื่อนร่วมงานของคุณที่ QCRI กล่าวในบทความ Wired เกี่ยวกับงานวิจัยนี้ คำพูดนั้น หากคุณอ่อนแอในตอนนี้ แสดงว่าคุณอ่อนแอในอนาคต นั่นหมายความว่าอย่างไร? เหตุใด Bitcoin จึงยากที่จะรักษาความเป็นส่วนตัวโดยเฉพาะ

Mashael: ดังนั้นในระดับสูง เราสามารถแสดงให้เห็นว่า เป็นไปได้ที่จะเชื่อมโยงธุรกรรมที่ละเอียดอ่อนก่อนหน้าของผู้ใช้กับพวกเขา หลายคนคิดว่าพวกเขาไม่เปิดเผยตัวตนอย่างสมบูรณ์เมื่อใช้ Bitcoin และสิ่งนี้ทำให้พวกเขารู้สึกปลอดภัย ในการวิจัยของเรา สิ่งที่เราทำคือการรวบรวมข้อมูลโซเชียลมีเดีย เช่น มีฟอรัมยอดนิยมสำหรับผู้ใช้ Bitcoin ที่เรียกว่า Bitcointalk.org และเรารวบรวมข้อมูล Twitter เช่นกันสำหรับที่อยู่ Bitcoin ที่ผู้ใช้ระบุถึงตนเอง ในบางฟอรัม ผู้คนจะแบ่งปันผู้รับ Bitcoin พร้อมกับข้อมูลโปรไฟล์ของพวกเขา ดังนั้น ตอนนี้ คุณมีข้อมูลโปรไฟล์สาธารณะ ซึ่งรวมถึงชื่อผู้ใช้ อีเมล อายุ เพศ เมือง สิ่งนี้สามารถระบุตัวตนได้สูง และคุณมีข้อมูลทั้งหมดนี้พร้อมกับที่อยู่ Bitcoin และเราพบว่ามีคนหลายร้อยคนที่โฆษณาที่อยู่ของพวกเขาทางออนไลน์ นอกจากนี้เรายังรวบรวมข้อมูลหน้าเว็บมืดสำหรับบริการที่ใช้ Bitcoin เป็นช่องทางการชำระเงิน ในช่วงเวลาของการทดลอง เราพบว่าบริการหลายร้อยรายการเปิดเผยที่อยู่รับ Bitcoin

บริการบางรายการเป็นบริการแจ้งเบาะแสเช่น Wikileaks และพวกเขายอมรับการบริจาคและการสนับสนุน แต่บริการจำนวนมากยังเป็นบริการที่ผิดกฎหมายอีกด้วย พวกเขาขายอาวุธและบัตรประจำตัวปลอมเป็นต้น ตอนนี้ เรามีฐานข้อมูลสองแห่ง ได้แก่ ผู้ใช้และที่อยู่ Bitcoin และบริการ และที่อยู่ Bitcoin เราเชื่อมโยงพวกเขาอย่างไร เราใช้ Bitcoin blockchain ซึ่งโปร่งใสและพร้อมใช้งานออนไลน์ ทุกคนสามารถดาวน์โหลดและวิเคราะห์ได้ ดังนั้นเราจึงดาวน์โหลดมันและโครงสร้างของลิงค์ Bitcoin blockchain ที่รับผ่านการทำธุรกรรม ดังนั้น หากมีธุรกรรมเกิดขึ้น ณ จุดใดเวลาหนึ่งในอดีตระหว่างที่อยู่สองแห่ง คุณจะสามารถค้นหาลิงก์ระหว่างที่อยู่ทั้งสองได้ และแน่นอน จากชุดข้อมูลสองชุดของเรา เราพบความเชื่อมโยงระหว่างผู้ใช้และบริการที่ซ่อนอยู่ รวมถึงบริการที่ผิดกฎหมายบางอย่าง เช่น อ่าวโจรสลัดและเส้นทางสายไหม blockchain เป็นบัญชีแยกประเภทที่โปร่งใสและเป็นบล็อกต่อท้ายเท่านั้น ดังนั้นข้อมูลในอดีตจึงไม่สามารถลบได้และลิงก์เหล่านี้ระหว่างผู้ใช้และบริการไม่สามารถลบออกได้

ลอเรล: ดังนั้นเราจึงได้อะไร เกิดขึ้นกับข้อมูลของทุกคนเมื่อคุณสร้างลิงก์นี้ และคุณได้ชี้แจงอย่างชัดเจนว่าลิงก์นี้พร้อมใช้งาน บริการใด ๆ เหล่านี้ใช้มาตรการตอบโต้เพื่อป้องกันการเผยแพร่ข้อมูลที่ไม่ระบุชื่อประเภทนั้นหรือไม่

Mashael: ฉันคิดว่าในช่วงหลายปีที่ผ่านมา บริการเหล่านั้นตระหนักดีว่า Bitcoin ไม่ได้เปิดเผยตัวตนอย่างที่คิด ดังนั้นพวกเขาจึงมีส่วนร่วมในแนวทางปฏิบัติต่างๆ ที่อาจทำให้ติดตามหรือเชื่อมโยงผู้ใช้กับพวกเขาได้ยากขึ้น ตัวอย่างเช่น บางคนใช้บริการผสม และบางคนใช้ที่อยู่ที่แตกต่างกันต่อธุรกรรม แทนที่จะใช้ที่อยู่เดียวสำหรับบริการของตน และนั่นทำให้ยากต่อการเชื่อมโยง นอกจากนี้ยังมี cryptocurrencies อื่น ๆ ที่ได้รับการวิจัย พวกเขาได้แสดงให้เห็นว่าพวกเขาเป็น พวกเขาให้การปกปิดตัวตนที่แข็งแกร่งเช่น Zcash เป็นต้น ตอนนี้มีความตระหนักมากขึ้น ที่กล่าวว่ายังคงมีการชำระเงินจำนวนมากเกิดขึ้นหรือเกิดขึ้นผ่าน Bitcoin รวมถึงแม้แต่ ransomware

Laurel: ดังนั้น QCRI เป็นหนึ่งในสถาบันวิจัยของมูลนิธิกาตาร์ และเป้าหมายของมูลนิธิกาตาร์คือการพัฒนางานวิจัยที่บุกเบิกในด้านที่มีความสำคัญระดับชาติสำหรับกาตาร์ และเพื่อสนับสนุนการพัฒนาที่ยั่งยืนและเป้าหมายการกระจายความเสี่ยงทางเศรษฐกิจที่มีศักยภาพที่จะเป็นประโยชน์ต่อคนทั้งโลก จากมุมมองนั้น เหตุใดการเข้าถึงระบบการชำระเงินและการสื่อสารที่ปลอดภัยและไม่เปิดเผยตัวตนจึงสำคัญ เหตุใดสิ่งนี้จึงสำคัญต่อสังคม

Mashael: เทคโนโลยีดังกล่าวมีความสำคัญเนื่องจากทำให้ผู้คนออนไลน์มีอิสระในการท่องเว็บและ ทำธุรกรรมได้อย่างอิสระโดยไม่รู้สึกเหมือนถูกเฝ้าดู ตอนนี้ เมื่อคุณรู้ว่าคุณกำลังถูกติดตามและการค้นหาทั้งหมดของคุณถูกแคชไว้ และข้อมูลของคุณถูกแบ่งปันกับผู้โฆษณา ผู้ใช้อาจรู้สึกถูกจำกัด เพราะโดยส่วนตัวแล้ว ฉันรู้สึกว่ามันอาจทำให้เซ็นเซอร์ตัวเองและจำกัดตัวเลือกของคุณได้ , ตัวเลือกของผู้ใช้ อย่างไรก็ตาม เมื่อเครื่องมือความเป็นส่วนตัวปกป้องคุณจากเครื่องมือติดตาม ผู้ใช้รู้สึกมีอิสระมากขึ้นที่จะค้นหาเกี่ยวกับปัญหาส่วนตัว เช่น โรคที่ต้องสงสัย หรือปัญหาส่วนตัวที่ละเอียดอ่อนของตนเอง

ผู้คนค ไม่เป็นอิสระโดยไม่มีความเป็นส่วนตัว เสรีภาพมีความสำคัญต่อการพัฒนาสังคม นอกเหนือจากความเป็นส่วนตัวแล้ว สกุลเงินดิจิทัลยังสามารถช่วยเหลือสังคมได้ โดยเฉพาะกลุ่มที่มีโครงสร้างพื้นฐานทางการเงินที่ยังไม่พัฒนา มีสังคมที่ไม่มีโครงสร้างพื้นฐานทางการเงินและผู้คนไม่มีบัญชีธนาคาร ดังนั้น cryptocurrency สามารถมีบทบาทในการบรรเทาความยากลำบากและปรับปรุงชีวิตของพวกเขา ฉันเพิ่งได้ยินมาว่า UNICEF ได้เปิดตัว CryptoFund เพื่อรับเงินบริจาคและเงินดิจิตอล เนื่องจากการโอนผ่าน cryptocurrencies มีค่าใช้จ่ายที่ต่ำมากในแง่ของเวลาในการโอน

Laurel : น่าสนใจทีเดียว โดยเฉพาะเมื่อมีเหตุฉุกเฉินและยูนิเซฟก็ต้องการเงินทุนโดยเร็วที่สุด ไม่เพียงแต่พวกเขาจะประหยัดเงินโดยใช้ธุรกรรมทางธนาคารทางเลือกเท่านั้น แต่จากนั้นพวกเขาจะสามารถใช้เงินได้โดยเร็วที่สุด

Mashael: ใช่แล้ว ค่าใช้จ่ายต่ำ และการโอนเงินก็รวดเร็ว และสามารถติดตามได้ทั้งหมด

Laurel: คุณเห็นว่า cryptocurrencies เป็นทางเลือกหรือไม่ จริง ๆ แล้วผ่านเข้ามาและมีบทบาทสำคัญใน ขั้นตอนการธนาคารแบบนี้ เพราะคนมองว่าเป็นการย้ายเงินจากที่หนึ่งไปอีกที่หนึ่งได้จริงหรือ?

Mashael: ฉันไม่คิดว่ามันสามารถแทนที่ระบบธนาคารแบบเดิมได้อย่างสมบูรณ์ แต่สามารถเติมเต็มได้ สามารถตอบสนองความต้องการบางอย่างและสามารถช่วยสังคมที่ไม่มีหรือมีโครงสร้างพื้นฐานทางการเงินที่ด้อยพัฒนา ดังนั้น ฉันคิดว่ามันสามารถเสริมระบบที่มีอยู่ได้

ลอเรล: และฉันก็พบว่ามันน่าสนใจเช่นกัน อย่างที่คุณกล่าวถึง ความเป็นส่วนตัวและความเป็นส่วนตัวมีความสำคัญอย่างไรต่ออิสรภาพ และในเชิงพาณิชย์ เราพบว่ามีการติดตามเราทุกที่บนอินเทอร์เน็ตด้วยโฆษณาและคุกกี้ ตลอดจนวิธีอื่นๆ ในการรักษา ติดต่อกับสิ่งที่เราสนใจ และสิ่งที่เราอาจจะซื้อต่อไป และเมื่อหลายปีก่อนมีการโต้เถียงกันเล็กน้อยว่าเครื่องมือติดตามสามารถบอกได้อย่างไรว่าผู้หญิงคนหนึ่งกำลังตั้งครรภ์จากไซต์ต่างๆ ที่เธอเยี่ยมชม และจากนั้นจะเริ่มกำหนดเป้าหมายเธอด้วยโฆษณาเฉพาะ คุณเห็นไหมว่านอกเหนือจากเพื่อวัตถุประสงค์ทางการค้าแล้ว วิธีการที่เข้มงวดกว่า ความหมายที่เข้มงวด ปรับปรุงความเป็นส่วนตัว สำหรับผู้บริโภคอินเทอร์เน็ตขณะที่พวกเขาใช้อินเทอร์เน็ต คุณเห็นว่าความเป็นส่วนตัวเป็นหนึ่งในสิ่งที่ผู้บริโภคเริ่มมองหามากขึ้นเรื่อยๆ หรือไม่?

Mashael: ฉันคิดว่า มีมากกว่านั้นแน่นอน ตอนนี้ผู้ใช้ตระหนักมากขึ้นถึงความสำคัญของความเป็นส่วนตัวของพวกเขา มีความตระหนักมากขึ้น มีการรั่วไหลเกี่ยวกับรัฐบาลที่ติดตามพลเมืองของตนและอื่น ๆ และข้อมูลของพวกเขา และยังมีข้อมูลเกี่ยวกับบริษัทหลายแห่งที่จัดเก็บและรวบรวมข้อมูลของผู้ใช้เป็นต้น ดังนั้น แน่นอนว่าผู้คนตระหนักดียิ่งขึ้น ตัวอย่างเช่น เมื่อ WhatsApp ตัดสินใจเปลี่ยนนโยบายความเป็นส่วนตัว เราสังเกตเห็นการฟันเฟือง หลายคน ผู้ใช้หลายคนเปลี่ยนไปใช้แอปอื่นๆ เช่น Signal โดยมีนโยบายความเป็นส่วนตัวที่ดีขึ้น

Laurel: คืออะไร ความท้าทายที่ใหญ่ที่สุดในการติดตามการหาประโยชน์คืออะไร? ไม่ว่าจะผ่านโครงสร้างพื้นฐานเครือข่ายหรือสกุลเงินดิจิตอล

Mashael: ดังนั้น การโจมตีจึงเกิดขึ้นด้วยเหตุผลทางการเมืองหรือเศรษฐกิจและ ตราบใดที่มีกำไรหรือกำไรสำหรับผู้โจมตี พวกเขาจะไม่หยุด ดังนั้นจะมีการโจมตีซีโร่เดย์อยู่เสมอ ฉันคิดว่าความท้าทายหลักคือการทำให้ผู้คนปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุด ตัวอย่างเช่น การโจมตีที่ประสบความสำเร็จและการรั่วไหลของข้อมูลจำนวนมากนั้นขึ้นอยู่กับรหัสผ่านเริ่มต้นหรือรหัสผ่านที่ง่าย หรืออาจขึ้นอยู่กับความล้มเหลวในการแพตช์ระบบเป็นระยะ ดังนั้น แม้ว่าเราจะไม่สามารถหยุดการโจมตีใหม่ๆ ได้ เราสามารถทำให้พวกเขามีประสิทธิภาพน้อยลงและบรรลุผลได้ยากขึ้นโดยปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุด

ลอเรล: การโจมตีแบบฟิชชิ่งมีวิวัฒนาการอย่างไร? ผู้โจมตีทางไซเบอร์ใช้วิธีการใดเพื่อหลอกล่อให้ผู้อื่นเปิดเผยข้อมูลส่วนตัวหรือดาวน์โหลดมัลแวร์

Mashael: ดังนั้น การวิจัยล่าสุด ได้แสดงให้เห็นว่าการโจมตีแบบฟิชชิ่งไม่มีสัญญาณของการชะลอตัว แม้ว่าจำนวนมัลแวร์จะลดลงเมื่อเทียบกับปีที่แล้ว แต่ฟิชชิ่งก็เพิ่มขึ้น พวกฟิชเชอร์ใช้เทคนิคต่างๆ ตัวอย่างเช่น เทคนิคหนึ่ง ซึ่งเป็นเทคนิคทั่วไปที่เรียกว่า squatting โดยที่ผู้โจมตีจะจดทะเบียนโดเมน ซึ่งคล้ายกับโดเมนที่ได้รับความนิยม เพื่อให้ผู้ใช้ดูถูกกฎหมายมากขึ้น ตัวอย่างเช่น มี PayPal.com ดังนั้นพวกเขาจึงลงทะเบียนบางสิ่งที่คล้ายกับ “PayPall/” ด้วย L เพิ่มเติมหรือพิมพ์ผิด ดังนั้นผู้ใช้จึงอาจดูถูกกฎหมายมากขึ้น

พวกเขายังใช้โซเชียล กลวิธีทางวิศวกรรมให้มีประสิทธิภาพมากขึ้น ฟิชเชอร์มักจะพยายามกระตุ้นกระบวนการตัดสินใจที่รวดเร็วของสมองของเรา และพวกเขาทำได้โดยการส่งอีเมลที่มีลิงก์ไปยังข้อเสนอ หรือโดยทั่วไปแล้วจะเป็นโอกาสเร่งด่วน เช่น “ลงทะเบียนวัคซีนโควิด รับจำนวนจำกัด” อะไรทำนองนั้น ดังนั้นจึงทำให้ผู้ใช้รู้สึกเร่งด่วน จากนั้นผู้ใช้จะเข้าไปที่ลิงก์ และได้รับการสนับสนุนให้ลงชื่อสมัครใช้โดยป้อนข้อมูลส่วนตัว บางครั้งในลิงก์เหล่านี้ พวกเขาก็ดาวน์โหลดมัลแวร์ด้วย ซึ่งทำให้ปัญหาแย่ลงไปอีก ในการวิจัยของเรา เรายังสังเกตเห็นว่าจำนวนโดเมนฟิชชิ่งที่ได้รับใบรับรอง TLS เพิ่มขึ้นในช่วงหลายปีที่ผ่านมา และอีกครั้ง พวกเขาได้รับใบรับรองดิจิทัลเพื่อให้ปรากฏแก่ผู้ใช้ที่ถูกต้องตามกฎหมายมากขึ้น และเนื่องจากเบราว์เซอร์อาจไม่เชื่อมต่อกับโดเมนหรือเตือนผู้ใช้ของโดเมนว่าไม่ได้ใช้ TLS

ลอเรล: ดังนั้น ตัวร้ายกำลังทำให้ตัวเองดูถูกกฎหมายมากขึ้นด้วยใบรับรองดิจิทัลเหล่านี้ ในความเป็นจริง สิ่งที่พวกเขาทำคือหลอกให้ระบบอัตโนมัติสามารถผ่านเข้าไปได้ ดังนั้นดูเหมือนถูกต้องตามกฎหมาย

Mashael: ใช่ และตอนนี้มีเบราว์เซอร์บางตัวที่กำหนดให้โดเมนต้องได้รับใบรับรองเพื่อเชื่อมต่อกับโดเมนเหล่านั้น ดังนั้น เพื่อเข้าถึงฐานเหยื่อที่กว้างขึ้น ตอนนี้จึงจำเป็นต้องได้รับใบรับรองเหล่านี้ และง่ายต่อการรับใบรับรองเพราะพวกเขาเป็นอิสระ มีผู้ออกใบรับรองที่ให้บริการโดยอัตโนมัติ เช่น Let’s Encrypt เป็นต้น ดังนั้นจึงเป็นเรื่องง่ายมากสำหรับพวกเขาที่จะได้รับใบรับรองและดูถูกกฎหมายมากขึ้น

ลอเรล: เหตุใดภัยคุกคามฟิชชิ่งจึงกลายเป็นเรื่องใหญ่ ปัญหาในช่วงการระบาดใหญ่ของ covid-19?

Mashael: เมื่อคุณมีการระบาดใหญ่มีองค์ประกอบความกลัวซึ่งสามารถ ทำให้เกิดการตัดสินใจที่ไม่ดี และผู้ใช้ต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับเรื่องราวที่กำลังพัฒนา ดังนั้น ในกรณีนั้น พวกเขามักจะลดความระมัดระวังและเยี่ยมชมหน้าเว็บที่อ้างว่านำเสนอแหล่งข้อมูลใหม่ ดังนั้น สถานการณ์ทั้งหมดจะมีผลมากขึ้นสำหรับผู้โจมตี และแม้กระทั่งในช่วงต้นของการระบาดใหญ่ ประมาณปลายเดือนมีนาคม 2020 มีการตรวจพบการโจมตีด้วยสแปมที่เกี่ยวข้องกับ coronavirus หลายหมื่นครั้ง และเราสังเกตเห็นโดเมนที่ลงทะเบียนใหม่หลายแสนโดเมนที่เกี่ยวข้องกับการแพร่ระบาด ซึ่งดูเหมือนว่าจะได้รับการจดทะเบียนด้วยเหตุผลที่เป็นอันตราย

ลอเรล: ดังนั้น เมื่อคุณเผยแพร่งานวิจัยเกี่ยวกับช่องโหว่ คุณหวังว่าจะเป็นแรงบันดาลใจให้ผู้คนใช้มาตรการรับมือเพิ่มเติม หรือคุณคิดว่าจะนำไปสู่การออกแบบระบบใหม่ทั้งหมดเพื่อให้ปลอดภัยยิ่งขึ้น หรือคุณหวัง ทั้งสองจะเกิดขึ้น?

Mashael: ดังนั้น เมื่อเราเผยแพร่งานวิจัยเกี่ยวกับช่องโหว่ อันที่จริงทั้งสองอย่าง มีความเห็นเป็นเอกฉันท์ในชุมชนวิจัยความปลอดภัยในโลกไซเบอร์ การวิจัยภัยคุกคามนั้นมีค่ามาก เพราะมันดึงความสนใจไปที่จุดอ่อนที่อาจส่งผลให้เกิดการประนีประนอมหรือการบุกรุกความเป็นส่วนตัวหากพวกเขาถูกค้นพบโดยผู้โจมตีก่อน ด้วยวิธีนี้ ผู้คนจะระมัดระวังตัวมากขึ้นและสามารถใช้มาตรการตอบโต้ที่แข็งแกร่งขึ้นได้ด้วยการให้ความรู้ตนเองดีขึ้น นอกจากนี้ ด้วยการวิจัยดังกล่าว เมื่อคุณให้ความสนใจกับจุดอ่อนหรือจุดอ่อนบางอย่าง คุณยังสามารถเริ่มคิด หรือเสนอแนะมาตรการรับมือและเพิ่มประสิทธิภาพโดยรวมของระบบได้

ลอเรล: ดังนั้น เมื่อคุณพบช่องโหว่ กระบวนการแจ้งเตือนผู้มีส่วนได้เสียเป็นอย่างไร ตัวอย่างเช่น ในข่าวเมื่อเร็วๆ นี้ Google ได้เปิดเผยการดำเนินการแฮ็คของรัฐบาลตะวันตก แต่จะต้องมีโปรโตคอลมาตรฐานที่เกี่ยวกับประเด็นที่ละเอียดอ่อนดังกล่าว โดยเฉพาะอย่างยิ่งเมื่อรัฐบาลมีส่วนเกี่ยวข้อง

Mashael: ดังนั้น ใน QCRI เราแจ้งพันธมิตรของเราและเราเขียนรายงานโดยละเอียด เรามีห้องปฏิบัติการและเราปรับใช้ระบบและเครื่องมือภายในองค์กรที่สามารถช่วยให้พวกเขาประมวลผล วิเคราะห์ และค้นพบเหตุการณ์ดังกล่าวได้ด้วยตนเองเช่นกัน

ลอเรล: และนั่นเป็นประโยชน์อย่างยิ่งอย่างยิ่งและเชื่อมโยงกับเป้าหมายของมูลนิธิกาตาร์ในการเสริมสร้างสังคมเพราะความปลอดภัยทางไซเบอร์ต้องการความร่วมมือจำนวนมากจากหลายฝ่ายใช่ไหม

Mashael: ใช่แน่นอน อย่างที่บอกไปก่อนหน้านี้ว่ามันเป็นหน้าที่ของเราที่จะรับใช้ชุมชนและด้วยเหตุนี้ตั้งแต่เริ่มก่อตั้งสถาบันเราจึงทำงานอย่างหนักเพื่อสร้างความสัมพันธ์กับหน่วยงานของรัฐและผู้มีส่วนได้ส่วนเสียต่าง ๆ ในประเทศและเราระมัดระวัง ระบุทิศทางการวิจัยที่จำเป็นสำหรับประเทศ เพื่อรับใช้ชาติก่อน และเพื่อสังคม

ลอเรล: อะไร คุณกำลังทำงานอยู่ตอนนี้?

Mashael: ดังนั้น ตอนนี้ฉันกำลังทำงานในโครงการวิจัยสองสามโครงการ หนึ่งในนั้นเกี่ยวข้องกับฟิชชิง เราสังเกตว่า อย่างที่ฉันพูดไปก่อนหน้านี้ โดเมนฟิชชิ่งจำนวนมากขึ้นเรื่อยๆ ได้รับใบรับรองดิจิทัลเพื่อให้ดูเหมือนถูกกฎหมายมากขึ้น ดังนั้น Google จึงมีโครงการความโปร่งใสของใบรับรอง ซึ่งโดยทั่วไปแล้วจะเป็นเซิร์ฟเวอร์ที่เผยแพร่โดเมนที่กำลังจะมาใหม่และใบรับรองของพวกเขา ดังนั้นจึงเป็นแหล่งข้อมูลสำหรับเราในการระบุโดเมนใหม่ที่จะเกิดขึ้นและทำความเข้าใจว่าโดเมนเหล่านี้อาจเป็นไปเพื่อวัตถุประสงค์ที่เป็นอันตรายหรือฟิชชิ่งหรือไม่

ดังนั้นเราจึงใช้ข้อมูลอัจฉริยะที่มีอยู่เพื่อระบุว่าเป็นโดเมนเหล่านั้นหรือไม่ ฟิชชิ่งหรือไม่ เป็นแนวทางที่ประสบความสำเร็จ เราสามารถใช้แมชชีนเลิร์นนิงและจำแนกประเภทด้วยความแม่นยำสูงมาก ซึ่งมากกว่า 97% ที่โดเมนจริง ๆ จะถูกใช้สำหรับฟิชชิ่งในบางครั้ง แม้กระทั่งก่อนที่จะออนไลน์ได้ เพียงแค่ดูจากใบรับรองและข้อมูลโครงสร้างพื้นฐานอื่นๆ .

ฉันกำลังพยายามระบุมัลแวร์ที่ใช้การสื่อสารที่ไม่เปิดเผยตัว มัลแวร์จำนวนมากขึ้นเรื่อยๆ ใช้พร็อกซีหรือ VPN และ Tor เพื่อหลบเลี่ยงการตรวจจับ เนื่องจากเป็นเรื่องยากมาก โดยปกติแล้วจะเป็นบ็อตเน็ตหรือเครื่องที่ติดไวรัส พวกเขาได้รับคำสั่งจากเครื่องส่วนกลางบางเครื่อง และหากใช้งานบน IP สาธารณะ ผู้ดูแลระบบเครือข่ายจะระบุและบล็อกการเชื่อมต่อได้ง่าย นั่นเป็นเหตุผลที่บ็อตเน็ตมาสเตอร์ปรับใช้คำสั่งและเซิร์ฟเวอร์ควบคุมของตนเป็นบริการที่ซ่อนของ Tor ดังนั้นจึงไม่ระบุชื่อและง่ายสำหรับเครื่องที่ติดไวรัสที่จะเชื่อมต่อและรับคำสั่งและรับการสื่อสาร แต่การลบการดำเนินการนั้นยาก ดังนั้นเราจึงกำลังทำงานเกี่ยวกับเทคนิคการวิเคราะห์ปริมาณการใช้ข้อมูลเพื่อระบุการเชื่อมต่อดังกล่าว และสิ่งนี้ขึ้นอยู่กับการติดไวรัสที่เราพบในบันทึกของผู้มีส่วนได้ส่วนเสียของเรา ดังนั้นมันจึงขึ้นอยู่กับความต้องการที่แท้จริงและข้อกำหนดจากพันธมิตรของเรา

ลอเรล: ดูเหมือนว่าคุณกำลังใช้ เทคนิคใหม่และแตกต่างกันจำนวนหนึ่ง แต่ดังที่คุณกล่าวถึงในการทำงานร่วมกันและการเป็นหุ้นส่วน ซึ่งสร้างความแตกต่างเมื่อคุณสามารถจัดการกับปัญหากับพันธมิตรจำนวนมากที่นี่ คุณมีข้อเสนอแนะเกี่ยวกับวิธีที่ผู้คน ผู้บริโภค สามารถใช้อินเทอร์เน็ตได้ระมัดระวังมากขึ้น หรือมีเทคโนโลยีใหม่ๆ ที่สามารถช่วยรักษาความปลอดภัยในการสื่อสารและการทำธุรกรรมทางการเงินหรือไม่

Mashael: ดังนั้น ฉันคิดว่าโดยทั่วไป เป็นความรับผิดชอบของผู้ใช้ที่จะต้องดูแลความเป็นส่วนตัวของพวกเขาด้วยการศึกษาและความตระหนักที่มากขึ้น เมื่อพวกเขาแบ่งปันข้อมูล พวกเขาจะต้องได้รับแจ้งว่าข้อมูลของพวกเขาจะได้รับการจัดการอย่างไร และเข้าใจถึงผลที่อาจเกิดขึ้นจากการสูญหายของข้อมูลหรือการรวมข้อมูลและการประมวลผลและการแบ่งปันข้อมูลโดยบริษัทต่างๆ ทางออนไลน์ ผู้คนสามารถใช้เทคโนโลยีที่มีอยู่ต่อไปได้ ตราบใดที่พวกเขาเข้าใจการรับประกันความเป็นส่วนตัวและความปลอดภัยและยอมรับพวกเขา.

ลอเรล: และนั่นเป็นส่วนที่ยากเสมอ

Mashael: ใช่ จริงค่ะ

ลอเรล: นี่เป็นบทสนทนาที่วิเศษมาก ดร.อัล ซาบาห์ ขอบคุณมากค่ะ

Mashael: ขอบคุณที่มีฉัน ลอเรล

ลอเรล: นั่นคือ Dr. Mashael Al Sabah นักวิทยาศาสตร์อาวุโสที่สถาบัน Qatar Computing Research Institute ที่ฉันคุยด้วยจากเมืองเคมบริดจ์ รัฐแมสซาชูเซตส์ บ้านเกิดของ MIT และ MIT Technology Review มองเห็นแม่น้ำ Charles

จบแค่นี้สำหรับ Business Lab ในตอนนี้ ฉันเป็นเจ้าภาพของคุณ ลอเรล รูมา ฉันเป็นผู้อำนวยการ Insights แผนกเผยแพร่ที่กำหนดเองของ MIT Technology Review เราก่อตั้งขึ้นในปี พ.ศ. 2442 ที่ Massachusett ของ Institute of Technology และคุณสามารถค้นหาเราได้ในรูปแบบสิ่งพิมพ์ บนเว็บ และในงานต่างๆ ในแต่ละปีทั่วโลก สำหรับข้อมูลเพิ่มเติมเกี่ยวกับเราและการแสดง โปรดตรวจสอบเว็บไซต์ของเราที่ technologyreview.com.

รายการนี้สามารถรับชมได้ทุกที่ที่คุณมีพอดแคสต์ หากคุณชอบตอนนี้ เราหวังว่าคุณจะสละเวลาสักครู่เพื่อให้คะแนนและวิจารณ์เรา Business Lab คือการผลิตของ MIT Technology Review ตอนนี้ผลิตโดย Collective Next ขอบคุณที่รับฟัง

ตอนพอดคาสต์นี้จัดทำโดย Insights, แขนเนื้อหาที่กำหนดเองของ MIT Technology Review มันไม่ได้เขียนโดยกองบรรณาธิการของ MIT Technology Review.

บ้าน ธุรกิจ

  • การดูแลสุขภาพ ไลฟ์สไตล์ เทค
  • โลก
  • อาหาร
  • เกม
  • การท่องเที่ยว

    Leave a Reply

    Your email address will not be published. Required fields are marked *

    Back to top button