Perché si dice che Internet sia una rete non affidabile?

Da Wikipedia

In termini di sicurezza informatica, una DMZ (a volte indicata come rete perimetrale) è una sottorete fisica o logica che contiene ed espone i servizi esterni di un'organizzazione a una rete più ampia non affidabile, generalmente Internet.

Perché dice ...

rete non attendibile più ampia, generalmente Internet.

Vedo spesso che si dice che Internet sia una rete non affidabile. Ci sono dei motivi per questo?

Mi piacciono le analogie. Dovresti anche tu.

Non fidarti di Internet. È spaventoso.

Immagina che Internet sia l'oceano. È piuttosto grande e imponente e pieno di creature strane e meravigliose che potrebbero o meno voler mangiarti vivo. Fortunatamente per te, ti è stato insegnato fin dalla tenera età che ovunque andrai ci saranno alcune creature là fuori che non vedono l'ora di sgranocchiare le tue interiora, ma che sono lunghe circa 30 piedi e così rare vedrai che probabilmente vincerai alla lotteria 3 volte di seguito prima di essere morso per uno e che non dovresti preoccuparti troppo di loro. Quello che non ti hanno insegnato a scuola è che questi stuzzichini sono letteralmente ovunque e sono disponibili in varie dimensioni.

Le tue interiora sono piuttosto importanti e non vuoi che ti mordicchino. Essendo la persona persistente determinata a fare una nuotata, ti sforzi di trovare un modo per nuotare senza preoccuparti del mondo, sapendo che non puoi essere tu la cui fortuna è così breve da essere mordicchiato.

Fortunatamente per te, i tuoi genitori sono veterani della Guerra dei Nibbler degli anni '70 e hanno parzialmente risolto il problema circondandosi di gabbie di Faraday. Quindi, ti hanno messo in una gabbia (nonostante le tue proteste) e ti hanno lasciato nell'oceano con un po 'di equipaggiamento da sub. Nella tua gabbia, sei al sicuro dalle creature marine che mangiano interiormente e puoi nuotare felicemente all'interno dei suoi confini senza paura delle creature marine. Forse la gabbia non è così stretta come pensavano i tuoi genitori, e riesci a tirar fuori le appendici (che i pesci che mangiano dentro salteranno in un attimo se sentono l'odore di te); ma è colpa dei tuoi genitori per non aver messo abbastanza sbarre nella gabbia.

Ok, è un'analogia piuttosto terribile, ma il punto è questo; le grandi aziende non vogliono che i loro dati vengano compromessi, quindi inseriscono le cose in reti private in cui sanno che gli hacker non saranno in grado di toccarli senza aver prima fatto un grande sforzo (o un incredibile social engineering). Ma poiché puoi ancora accedere a Internet, c'è la possibilità che il tuo computer sia compromesso, il che espone la rete più grande.

Poiché la società controlla quali informazioni possono essere trasmesse, possono mitigare il danno dei siti di fronte al pubblico ed essere felici che nessuna delle loro cose interne alla rete sia stata esposta

Per rispondere "perché Internet non è sicuro?", Dobbiamo effettivamente capire "Come funziona Internet?". E facendo un ulteriore passo, chiediamo "Cos'è Internet?".

Cos'è Internet?

Un libro di testo per ragazzi definirà Internet come una rete di reti, e questo rimane fedele a un livello CTO. In termini pratici, inizia a pensare dal fatto come stai leggendo questo testo. Stai leggendo questo dal tuo personal computer / laptop o da un desktop di ufficio. Se si tratta di un personal computer, si è connessi componendo l'ISP o se si è in LAN, qualcun altro ha fatto questo passaggio per te. Una stessa LAN è una rete, sebbene più piccola. Una LAN avrà computer e router (potrebbero essere server).

Quando la LAN viene connessa all'ISP, a cui sono collegati più PC, server, router e LAN, diventa parte di una rete più ampia. Quando questa rete più grande viene ulteriormente connessa, finiamo per avere una rete enorme, chiamata Internet.

Come funziona Internet?

Ancora una volta torniamo alle basi. Come possono parlare due computer? Si inviano l'un l'altro pacchetti di informazioni, che sono forniti in un protocollo ben definito, che entrambi i sistemi comprendono. Pensalo come una persona che invia una lettera a un'altra, la lettera è il pacchetto e il protocollo è alcune semplici regole che assicureranno che le informazioni vengano trasmesse correttamente.

Ad esempio, sto scrivendo in inglese e capisci cosa significa. Ora, se la seconda persona è lontana in modo tale che una persona non possa consegnare la lettera, dovrà fidarsi dei mediatori. È possibile utilizzare l'ufficio postale o un servizio di corriere. Ora, se il posto è lontano, un ufficio postale invierà la lettera al secondo, che la passerà ulteriormente fino a raggiungere la destinazione.

La stessa analogia funziona per Internet. Quando si inviano o si recuperano informazioni su Internet, devono passare attraverso molti router e server.

Perché Internet non è sicuro?

Le informazioni contenute nella tua lettera sono al sicuro quando le pubblichi? Sì, ma solo fino a quando un impiegato delle poste o qualcuno sulla strada lo apre. Lo stesso vale per Internet.

Dato che le informazioni passano attraverso così tanti router e server, o che i dati risiedono effettivamente su alcuni server, chiunque può ottenere l'accesso può recuperare tali informazioni. Naturalmente ci sono misure di sicurezza, protocolli (SSH / https) e crittografia comunemente usati. Ma qualsiasi algoritmo in grado di proteggere le informazioni, avrà anche un contro-algoritmo, che consentirà di ottenere l'accesso.

Quindi, semplicemente, i tuoi dati sono al cento per cento sicuri finché non ti trovi su un sistema isolato, nel momento in cui ti connetti a una rete, qualcuno può accedere ai dati (esagerato? Sì). Si ridurrà all'intelligenza della persona che sta cercando di salvare le informazioni rispetto alla persona che sta cercando di accedere alle informazioni

Le informazioni che ricevi da Internet provengono da un computer specifico che ... beh ... è là fuori da qualche parte . Non sai chi possiede o gestisce quel computer. Non sai nemmeno chi ci abbia messo le informazioni.

Per passare da quel computer al tuo, le informazioni devono viaggiare attraverso diversi router lungo il percorso. Ogni router ha la possibilità di modificare i dati che lo attraversano e non sai chi possiede o gestisce i router.

Questo è il motivo per cui non puoi fidarti di Internet, almeno non nel senso di "fiducia" come usato nelle discussioni sulla sicurezza: potresti ricevere dati da un creatore malintenzionato o i dati potrebbero essere inviati da un server maligno, oppure i dati potrebbero essere stati modificati in transito da un router dannoso.

A meno che tu non abbia adottato alcune misure per verificare sia l'identità del mittente (ad esempio, facendo in modo che l'origine fornisca un certificato digitale firmato) sia l'integrità del canale di comunicazione (ad esempio, utilizzando un protocollo crittografato), non puoi davvero fare molto di più di incrociare le dita e sperare che ciò che ottieni sia lo stesso di quello che hai richiesto.

Non attendibile significa che i dati che attraversano i livelli non sono protetti. Non sai mai cosa ti sta succedendo. Chiunque può manipolarlo. I dati possono essere persi o danneggiati durante la trasmissione. Potrebbe perdere la sua integrità e riservatezza. Un uomo con molte abilità può hackerare i tuoi dati. Di solito ci sono molte tecniche attraverso le quali puoi proteggerti, ma è comunque incline ad essere hackerato dagli hacker.

Internet è anche chiamato non protetto perché utilizza il protocollo IPv4 che è un protocollo datagramma inaffidabile e senza connessione. Non fornisce controllo degli errori e controllo del flusso. Per l'affidabilità è accoppiato con protocollo TCP affidabile per la trasmissione di dati nel livello di trasporto.

Perché non puoi fidarti di tutti

Internet è "tutti nel mondo con una connessione di rete".

Ti fidi di tutti nel mondo con una connessione di rete? Vuoi che siano tutti in grado di connettersi al database dei salari della tua azienda?

Altrimenti, ecco perché Internet non è "affidabile".

In tal caso, ti preghiamo di comunicarci l'indirizzo IP in modo da poter iniziare a ricevere gli stipendi. ;)

Immagina di essere a casa, c'è tua mamma tuo padre tua sorella. Se uno di loro ti chiedesse di prendere in prestito 100 $ da te cosa faresti? Ora l'immagine è in uno stadio pieno di persone che non conosci e qualcuno ti ha chiesto 100 $ reagiresti diversamente?

Su Internet ci sono persone che hanno una parte da guadagnare dalla tua identità. Possono prendere il controllo del tuo computer e pulire il tuo conto bancario. Possono usare il tuo computer per attaccare altri computer. Ci sono persone che usano il social engineering per truffarti. Ci sono persone che usano trojan e virus per diffondere la loro portata.

In pochi minuti sei connesso a Internet ti stai rendendo vulnerabile a queste persone.

Il comportamento predefinito degli utenti esperti di Internet è diffidare di tutti e di tutto. Ecco perché è considerata una rete non affidabile, perché non sai mai chi si trova dall'altra parte della linea e cosa vuole da te.

In breve, la "fiducia" nella sicurezza informatica non equivale alla "fiducia" nel senso ordinario. Deve essere esteso per includere il concetto di identità.

Cominciamo con la normale definizione della parola. L'OED definisce la "fiducia" come "Fiducia in o affidamento su una qualità o un attributo di una persona o cosa, o la verità di una dichiarazione". Nell'era pre-Internet, potresti voler inviare un messaggio confidenziale alla tua amica Sally. Potresti darlo a una terza parte, Bob, se fossi sicuro che avrebbe consegnato il messaggio a Sally e a nessun altro. In tal caso, fai affidamento su una particolare qualità di Bob: la sua capacità di consegnare il tuo messaggio in modo discreto. In altre parole, ti fidi di Bob.

Online, è possibile falsificare l'identità. Quindi la "fiducia" deve essere estesa oltre la dipendenza dalle qualità di una terza parte. Deve includere la dipendenza dall'identità della terza parte . Supponiamo che la tua terza parte fidata sia la bacheca di messaggi su bob.com. In tal caso, stai facendo affidamento non solo sulla discrezione di un particolare sistema online, ma sul presupposto che l'indirizzo bob.comindichi effettivamente il sistema che ritieni faccia. Ma quest'ultima ipotesi è negativa: ci sono molti modi per dirottare un nome di dominio. Se la privacy del tuo messaggio a Sally è davvero molto importante, devi bob.comdimostrare la sua identità. E questa è una delle funzioni di SSL.

Quindi, diciamo che Internet in generale non è attendibile non perché pensiamo che tutti siano in cerca di noi, ma perché quella "fiducia" online significa dimostrare che le entità sono ciò che dicono di essere. I meccanismi di fiducia non sono integrati in Internet, a causa delle sue origini come rete informale basata sulla ricerca basata sulla fiducia reciproca, nel semplice senso inglese della parola. La fiducia - nel senso della sicurezza informatica - deve essere stratificata.

Si noti che ci sono sostanzialmente tre cose di cui preoccuparsi:

1. Se ci si può fidare del ragazzo all'altro capo
2. Se puoi fidarti della connessione tra te e l'altra estremità
3. Se qualcuno che non conosci nemmeno può connettersi al tuo sistema senza la tua autorizzazione

In una rete completamente fidata (ad esempio, una rete costituita solo dai computer della tua famiglia) non hai nessuna di queste preoccupazioni. Ma esci da un ambiente così limitato e devi preoccuparti.

Con un computer senza firewall collegato a una rete non attendibile, sei esposto su tutti e tre i punti. Il tipo all'altro capo potrebbe usare i dati che gli invii in modo inappropriato o potrebbe inviare dati dannosi al tuo sistema. Anche se il ragazzo all'altro capo è affidabile, qualcuno con accesso alla "pipe" potrebbe leggere / manipolare i bit e i byte per estrarre i tuoi dati privati ​​o inviare contenuti dannosi a te o all'altra estremità. E se qualcuno può connettersi al tuo computer senza il tuo consenso e manipolarne le viscere, tutto è esposto.

Fidarsi dell'altra estremità è ovviamente una questione di giudizio da parte vostra. (Si spera) usi un po 'di attenzione e non fai affari su siti di cui non hai buone ragioni per fidarti (e non usi mai una carta di debito per fare acquisti su Internet). E usi un'impostazione antivirus / firewall che impedirà a un sito dannoso (o semplicemente hackerato) di installare nasties sulla tua scatola.

Garantire una buona connessione senza compromessi all'altra estremità è principalmente una questione di utilizzo di un protocollo crittografato. Per HTTP, si tratta generalmente di HTTPS, una versione del protocollo HTTP che aggiunge il livello di crittografia SSL "Secure Socket Layer". Tutti i siti affidabili che si occupano di questioni private / finanziarie dovrebbero utilizzare il protocollo HTTPS (che saprai perché il prefisso URL è "https:" e perché il tuo browser visualizza un'icona "lucchetto" o una dicitura come "Verified by: VeriSign, Inc . "se passi il cursore del mouse sopra l'icona davanti all'URL nella riga dell'indirizzo). Esistono altri approcci, come l'utilizzo di una VPN (Virtual Private Network), ma sono più utili per attività commerciali / commerciali.

In termini di impedire ai cattivi di connettersi direttamente alla tua scatola, questo si riduce ad avere un buon firewall. Questo può essere un software firewall nel tuo computer (come parte del pacchetto antivirus, in genere) o come una scatola hardware separata. (Questa funzione è spesso inclusa nei router wireless, ad esempio.)

Perché fidarsi di qualsiasi rete, grande o piccola? La fiducia è sfuggente, e forse è la parola peggiore da usare in questo contesto. Quando attraversi qualsiasi confine di rete, devi considerare il rischio e invocare la mitigazione necessaria.

Una rete non attendibile è qualsiasi rete in cui la rete non è gestita esclusivamente dal gruppo o dal dipartimento che gestisce la rete privata.

Una rete pubblica è qualsiasi rete gestita esclusivamente dal gruppo o dal dipartimento che gestisce la rete privata ma può accedere ai dispositivi nella rete non attendibile.

Una rete privata è qualsiasi rete gestita da un gruppo o dipartimento che ha accesso solo a una rete pubblica.