Interviu cu cercetătorul Thyla Van Der Merwe cu privire la TLS și confidențialitate online

Thyla van der Merwe a primit un BCom în Matematică, Statistică și Economie, un BSc (Hons) în Matematică și un Master în Matematică de la Universitatea Cape Town, Africa de Sud. Ea este absolventă de masterat în securitatea informațiilor la Royal Holloway, Universitatea din Londra, ca bursier FirstRand Laurie Dippenaar. Înainte de a începe la Royal Holloway, Thyla a petrecut patru ani la Tellumat (PTY) Ltd ca specialist în securitate și dezvoltator de software. Thyla reprezintă în prezent Africa de Sud în comitetul de standarde ISO / IEC JTC 1 SC 27, unde activitățile sale implică standardizarea mecanismelor și protocoalelor criptografice. Interesele de cercetare ale Thyla includ diferite subiecte în criptografia teoretică și aplicată.

Transport Layer Security (TLS) este un protocol inițiat de IETF în 1999 pentru a înlocui SSL pentru securizarea datelor site-ului web și alte criptare a informațiilor online. Cu toții folosim în mod regulat TLS în timp ce navigăm pe web pe site-uri web sigure.

vpnMentor: Ce trebuie să știu ca utilizator mediu pe TLS?

Încercăm să educăm utilizatorii să verifice dacă au o conexiune TLS; în browsere precum Chrome și FireFox puteți verifica bara de căutare pentru a vedea o notificare despre acest lucru. Dacă nu aveți o conexiune HTTPS, gândiți-vă de două ori la informațiile pe care le introduceți pe site. Evitați să introduceți numele de utilizator și parola pe o adresă URL care nu este HTTPS. Nu mă tem să introduc date în site-urile https, dar sunt conștient de faptul că lucrurile pot merge prost.

TLS

Verificați dacă un site este securizat pe Google Chrome, făcând clic pe pictograma de blocare

vpnMentor: Când selectați o VPN, unii furnizori VPN menționează că au suport TLS. Ce inseamna asta?

Cred că unele conexiuni VPN permit canale TLS; unele produse pot „vorbi” TLS – fac parte din mecanismul de schimb de chei autentificat pentru a construi un canal securizat. Desigur, oferirea de TLS nu afectează nici marketingul.

vpnMentor: Proprietarii site-urilor web văd atât de multe opțiuni pentru cumpărarea SSL, ceea ce este important atunci când cumpărați un certificat, este important să cumpărați de la o marcă mare?

Ceva ca un server APACHE va veni cu opțiuni de configurare TLS. Rețineți ce versiune a TLS să implementați și nu folosiți RC4! Au fost probleme cu anumite autorități de certificare, așa că personal, aș cumpăra de la marile branduri precum Symantec și Comodo.

vpnMentor: Ce vă concentrați pe cercetarea dvs.?

Folosim metode formale pentru a analiza TLS 1.3, pentru a ne asigura că este sigur.

vpnMentor: TLS poate fi exploatat pentru a recupera parolele. Vă rugăm să explicați cum

Când RC4 este utilizat în TLS există o slăbiciune în RC4 pe care un atacator o poate exploata pentru a vă descoperi parolele; atacatorul interceptează un număr mare de conexiuni TLS care folosesc RC4 și poate folosi prejudecăți în cheia RC4 pentru a găsi parola dvs..

vpnMentor: Credeți că organizațiile de super-putere precum Amazon și Google pot hack RSA folosind resursele lor? Te temi pentru un astfel de scenariu?

Sunt îngrijorat în legătură cu mai multe lucruri care ar putea face marile organizații, dar speranța mea este că nu vor abuza de puterea pe care o au.

vpnMentor: Ce faceți personal pentru a vă proteja confidențialitatea online?

Mă asigur că aleg parolele bune, le rotesc din când în când. Am un sistem, așa că folosesc multe parole diferite pentru site-uri diferite și nu „una pentru toate”. De asemenea, încerc să fiu conștient atunci când lucrez la o conexiune sigură sau nu. Uneori, folosesc un VPN, dar nu des. În principal când trebuie să mă conectez la rețeaua mea de campus (folosesc clientul VPN F5). De asemenea, am citit mesajele de avertizare ale browserului meu!

vpnMentor: Care este părerea dvs. cu privire la găsirea echilibrului corect de păstrare a drepturilor de confidențialitate și combaterea terorismului global?

Mă ocup de argumentul că oamenii au dreptul la confidențialitate. Pentru mine acesta este cel mai important lucru. Apreciez că există amenințări care trebuie abordate, dar costul vieții private a utilizatorului este poate un preț prea mare.

vpnMentor: În opinia dumneavoastră, vom vedea un atac major de hacking asupra infrastructurilor în următorii 10 ani sau ar rămâne doar un subiect pentru filmele de ficțiune?

Ei bine, am văzut deja atacuri sub forma Stuxnet, de exemplu. Nu cred că putem elimina amenințarea pentru atacuri majore de pe tărâmul posibilității.

Thyla Van Der Merwe BIU

Thyla Van Der Merwe la BIU, 02 mai 2016

TLS: Trecut, prezent, viitor din vpnMentor

Analiza automată a TLS 1.3 din vpnMentor