Realment necessito un model d'amenaça?

Si les vostres opcions de privadesa se senten motivades per l'ansietat o contradictòries, sí. El model no és un document; és un marc per pensar. Fins i tot un passeig mental de 15 minuts a través de les quatre preguntes normalment revela on estàs invertint poc o en excés.

És útil la paranoia?

La preocupació específica i calibrada és. La paranoia generalitzada és esgotadora i no millora els resultats: l'ansietat per si sola no et fa més segur. L'objectiu del modelatge d'amenaces és canalitzar la preocupació cap a accions específiques i després deixar de preocupar-se per la resta.

Què passa si no puc identificar els meus adversaris?

La majoria de la gent normal té una exposició genèrica a amenaces oportunistes. "No tinc ningú que m'orienti específicament" normalment vol dir que les defenses estàndard són suficients: gestor de contrasenyes, 2FA, clic acurat a l'enllaç, navegador raonable. El model es fa més específic a mesura que ho fa la vostra exposició real.

Com equilibro la privadesa amb la comoditat?

Trieu primer les defenses de més palanquejament (nivell gairebé lliure superior) i afegiu més fricció només quan l'amenaça ho justifiqui. La majoria de les pèrdues de privadesa provenen d'ometre defenses fàcils, no de saltar-ne les avançades.

Hi ha plantilles estàndard de models d'amenaça?

El lloc d'Autodefensa de Vigilància de l'EFF disposa de guies específiques d'escenari (periodista, activista, advocat, etc.). Security in a Box té guies específiques de la regió. Tots dos són punts de partida; la vostra situació específica requerirà adaptació.

Construir un model d'amenaça personal: com pensar en la privadesa sense tornar-se boig

Els consells genèrics de privadesa: "utilitza una VPN, activa 2FA, utilitza el senyal" - funciona perquè és defensable per gairebé tothom. Però "de qui estàs defensant realment?" és la pregunta que converteix els consells generals en opcions útils. Un model d'amenaça personal és el marc per esbrinar-ho sense caure en paranoia.

El cos complet de l'article es proporciona en anglès a continuació.

A threat model és una anàlisi estructurada de qui podria voler atacar-te, què podrien fer de manera realista i quines defenses tenen sentit donat això. La mateixa persona pot tenir un alt risc per a una amenaça i no preocupar-se per una altra; sense un model, repartiu l'esforç de manera uniforme entre tots dos. Amb un, us centreu.

Les quatre preguntes

El marc clàssic de modelització d'amenaces de l'Electronic Frontier Foundation demana:

Què voleu protegir? (els actius)
PLZ13 de què ho voleu protegir? adversaris)
Quina probabilitat és que hàgiu de protegir-lo? (la probabilitat d'amenaça)
Quin de greus són les conseqüències si fracassa? (l'impacte)

XXXPLZ225Tan de greus són les conseqüències? conseqüències? (el pressupost de l'esforç)

Les dues primeres preguntes són fàcils de fer, difícils de respondre específicament. El tercer i el quart són on es desfà la majoria de modelatge d'amenaces amateurs, sobreestimant la probabilitat d'amenaces i les conseqüències per a escenaris de baix risc. foto

Comunicacions: missatges de text, trucades, correus electrònics, amb qui parleu i quan

Financial: comptes bancaris, mètodes de pagament, moneders criptogràfics, informació fiscal

XPLZ4 factors importants per a l'accés al segon i segon accés

XPLZ48Z47XXPLZ4 serveis

Documents — fitxers de treball, registres personals, diaris, fotos

LHistorial d'ubicacions — on ets, on vas

Navegació i historial de consum — el que llegeixes — cerca

Categories d'adversari habituals

Estrangers (oportunistes): lladres a l'atzar, estafadors, botnets que omplen credencials. No saben que existeixes; ruixen i cullen.
Estrangers (motivats) — algú que té una raó personal per apuntar-vos específicament. Acosador, ex menyspreat, assetjador en línia.
Coneixements — família, parella, exparella, companys. Saben coses sobre tu i poden tenir accés als teus dispositius.
Employers: monitors informàtics corporatius i poden exfiltrar dades del dispositiu de treball de manera legítima.
Proveïdors de serveis: Google, Apple, Meta, el teu ISP, el teu operador de telefonia. Tenen dades enormes; el seu ús és la seva política.
Compliment de la llei local: pot obtenir dades mitjançant ordres, citacions, sol·licituds en circumstàncies exigents.
Agències nacionals d'intel·ligència: capacitats de col·lecció fins a punt final i compromesa sense revelar objectius, incloent-hi capacitats de compromís sense revelar fins a punt final. empreses tecnològiques.
Governs estrangers — varia moltíssim; per a periodistes, activistes o viatgers de negocis en determinats països, l'amenaça és aguda.

La majoria d'usuaris tenen un petit subconjunt d'adversaris rellevants

L'error clàssic: un usuari normal que planifiqui els adversaris de l'estat nacional mentre deixa el correu electrònic 2FA principal basat en SMS. Els adversaris realistes per a la majoria de la gent són les tres primeres categories. Planifiqueu-los bé; les categories superiors són excessives per a la vida ordinària.

Contràriament, l'error clàssic va a l'inrevés: algú amb un adversari creïble de l'estat-nació (periodista amb interès del govern estranger, activista en un país autoritari) utilitzant defenses de grau del consumidor i confiant-hi. temps, diners, fricció o capacitat. Enumerar-los:

Gairebé gratuït. Contrasenyes úniques fortes d'un gestor, habilitant 2FA en comptes importants, utilitzant Signal per a una comunicació sensible, configuració de privadesa del navegador.
, una subscripció de maquinari de seguretat, una subscripció de maquinari de bona reputació, un cost de maquinari de bona reputació. una subscripció al gestor de contrasenyes.
Esforç significatiu. Utilitzar només serveis de correu electrònic encriptats, serveis de claus d'allotjament automàtic, configuració de tallafocs per aplicació, gestió de les vostres pròpies claus PGP.
PLZ123XPLZ123XPLZ123XPLZ124PLZ124PLZ124PLZ125X les xarxes socials completament.

El nivell correcte depèn del que hi hagi en joc. La majoria de les persones obtenen guanys massius de privadesa amb el nivell "gairebé gratuït" i tenen rendiments que disminueixen ràpidament més enllà.

Un exemple treballat

Professional genèric, vida normal, moderadament conscient de la privadesa:

Actius: comptes financers, correu electrònic, fitxers de treball, fotos.
Adversaris:
Adversaris:, dispositius de delinqüència professional, treballadors de delinqüents personals (la supervisió del dispositiu de treball és raonable), Google/Apple/Meta (ús de dades comercials, no maliciós, però no alineades).
Defenses: gestor de contrasenyes + clau de maquinari 2FA en correu electrònic i finances, encriptació de disc complet en ordinadors portàtils, navegador que respecti la privadesa, ús ocasional de bloqueig d'anuncis, ús ocasional de senyals temes.
No perseguint: Tor per a tot, correu electrònic autoallotjat, xifrar tots els documents, separar identitats. El cost supera els beneficis d'aquest model d'amenaça.

Periodista amb fonts al país censurat:

Actius: identitats font, comunicacions, esborranys d'històries, historial d'ubicacions.
Soci estranger:29XAdd, possiblement soci:29XAdd28XPLZ3 govern, competidors de l'empresa.
Defenses: Senyal per a totes les comunicacions d'origen, Tails o Qubes per a treballs d'alt risc, Tor per a la investigació, dispositius separats per a fonts vs vida normal, sense emmagatzematge al núvol de material d'origen, SecureDrop per a consells. compartimentació, minimització de metadades, disciplina OPSEC.

Les mateixes categories generals d'assessorament, opcions específiques radicalment diferents.

L'error de pensar en una sola amenaça

La gent sovint construeix seguretat al voltant d'una amenaça destacada ("excepte el govern"), mentre que "la meva amenaça més probable" "descuida una amenaça probable". O viceversa. Un model d'amenaça real considera múltiples adversaris simultàniament i accepta que alguns no seran abordats.

Les violacions de privadesa més perjudicials personals per a la majoria de les persones les cometen persones que coneixen, no governs o desconeguts. Abús domèstic, assetjament, disputes de custòdia, represàlies laborals. Les defenses d'aquestes amenaces semblen diferents de les defenses contra la vigilància de l'estat-nació.

Reviseu-les periòdicament

Els models d'amenaça canvien. Nova feina, nova relació, nou entorn polític, nou estat de salut, nova afició: qualsevol d'això pot canviar el que esteu protegint i de qui. Un model que s'ajusti a la teva vida fa cinc anys pot ser equivocat per avui. Revisa les quatre preguntes cada any més o menys.

Preguntes freqüents

Realment necessito un model d'amenaça?: Si les vostres opcions de privadesa se senten motivades per l'ansietat o contradictòries, sí. El model no és un document; és un marc per pensar. Fins i tot un passeig mental de 15 minuts a través de les quatre preguntes normalment revela on estàs invertint poc o en excés.
És útil la paranoia?: La preocupació específica i calibrada és. La paranoia generalitzada és esgotadora i no millora els resultats: l'ansietat per si sola no et fa més segur. L'objectiu del modelatge d'amenaces és canalitzar la preocupació cap a accions específiques i després deixar de preocupar-se per la resta.
Què passa si no puc identificar els meus adversaris?: La majoria de la gent normal té una exposició genèrica a amenaces oportunistes. "No tinc ningú que m'orienti específicament" normalment vol dir que les defenses estàndard són suficients: gestor de contrasenyes, 2FA, clic acurat a l'enllaç, navegador raonable. El model es fa més específic a mesura que ho fa la vostra exposició real.
Com equilibro la privadesa amb la comoditat?: Trieu primer les defenses de més palanquejament (nivell gairebé lliure superior) i afegiu més fricció només quan l'amenaça ho justifiqui. La majoria de les pèrdues de privadesa provenen d'ometre defenses fàcils, no de saltar-ne les avançades.
Hi ha plantilles estàndard de models d'amenaça?: El lloc d'Autodefensa de Vigilància de l'EFF disposa de guies específiques d'escenari (periodista, activista, advocat, etc.). Security in a Box té guies específiques de la regió. Tots dos són punts de partida; la vostra situació específica requerirà adaptació.