Entrevista amb la investigadora Thyla Van Der Merwe sobre TLS i privadesa en línia

Thyla van der Merwe va obtenir un BCom en Matemàtiques, Estadístiques i Economia, un BSc (Hons) en Matemàtiques i un Master en Matemàtiques per la Universitat de Ciutat del Cap, Sud-àfrica. Té un títol de màster en seguretat de la informació a la Royal Holloway de la Universitat de Londres com a estudiant FirstRand Laurie Dippenaar. Abans de començar a Royal Holloway, Thyla va passar quatre anys a Tellumat (PTY) Ltd com a especialista en seguretat i desenvolupador de programari. Actualment, Thyla representa Sud-àfrica al comitè de normes ISO / IEC JTC 1 SC 27, on les seves activitats impliquen l’estandardització de mecanismes i protocols criptogràfics. Els interessos en la investigació de Thyla inclouen diversos temes en criptografia teòrica i aplicada.

Transport Layer Security (TLS) és un protocol iniciat per l’IETF el 1999 per substituir SSL per a la seguretat de dades del lloc web i altres xifrats d’informació en línia. Tots utilitzem regularment TLS mentre navegem pel web en llocs web segurs.

vpnMentor: què he de saber com a usuari mitjà a TLS?

Intentem educar els usuaris per comprovar que tenen una connexió TLS; en navegadors com Chrome i FireFox podeu consultar la barra de cerca per veure una notificació sobre això. Si no teniu cap connexió HTTPS, penseu dues vegades la informació que introduïu al lloc. Eviteu posar el nom d’usuari i la contrasenya a una URL que no sigui HTTPS. No tinc por d’introduir dades als llocs https, però sé que les coses poden funcionar malament.

TLS

Comproveu si un lloc està segur de Google Chrome, feu clic a la icona de bloqueig

vpnMentor: Quan es selecciona una VPN, alguns proveïdors VPN mencionen que tenen suport TLS. Què vol dir això?

Crec que algunes connexions VPN permeten canals TLS; alguns productes poden “parlar” TLS: formen un mecanisme d’intercanvi de claus autenticat per construir un canal segur. Per descomptat, oferir TLS tampoc perjudica la comercialització.

vpnMentor: els propietaris de llocs web veuen tantes opcions per comprar SSL, el que és important a l’hora de comprar un certificat, és important comprar d’una gran marca?

Alguna cosa com un servidor APACHE vindrà amb opcions de configuració de TLS. Tingueu en compte quina versió de TLS cal implementar i no utilitzeu RC4! Hi ha hagut problemes amb certes autoritats de certificació, de manera que personalment compraria a les grans marques com Symantec i Comodo.

vpnMentor: Què centres en la teva recerca?

Utilitzem eines de mètodes formals per analitzar TLS 1.3, per assegurar-nos que sigui segur.

vpnMentor: es pot explotar TLS per recuperar contrasenyes. Si us plau, expliqueu com

Quan s’utilitza RC4 en TLS, hi ha una debilitat en RC4 que un atacant pot explotar per descobrir les vostres contrasenyes; l’atacant intercepta un gran nombre de connexions TLS que utilitzen RC4 i pot fer ús de biaixos a la línia principal de RC4 per trobar la vostra contrasenya.

vpnMentor: Creus que les organitzacions de super potència com Amazon i Google poden piratejar RSA utilitzant els seus recursos? Té por aquest escenari?

Estic preocupat per diverses coses sobre les grans organitzacions que podrien fer, però la meva esperança seria que no maltractin el poder que tenen.

vpnMentor: Què fas personalment per protegir la teva privadesa en línia?

M’assegura que trieu bones contrasenyes, les roto de tant en tant. Tinc un sistema pel que faig servir contrasenyes diferents per a llocs diferents i no “una per a totes”. També intento ser conscient quan estic treballant en una connexió segura o no. De vegades, faig servir una VPN, però no sovint. Principalment quan he de connectar-me a la meva xarxa de campus (faig servir el client VPN F5). També he llegit els missatges d’avís del meu navegador!

vpnMentor: quina és la vostra opinió sobre com trobar l’equilibri adequat de mantenir els drets de privacitat i lluitar contra el terrorisme global?

Jo faig costat de l’argument que la gent té dret a la intimitat. Per a mi això és el més important. Agraeixo que hi hagi amenaces que cal abordar, però el cost de la privadesa dels usuaris és un preu massa elevat per pagar.

vpnMentor: Segons la vostra opinió, veurem un atac de pirateria important a les infraestructures en els propers 10 anys, o això seria només un tema per a pel·lícules de ficció?

Bé, ja hem vist atacs en forma de Stuxnet, per exemple. No crec que puguem eliminar l’amenaça dels atacs importants del terreny de la possibilitat.

Thyla Van Der Merwe BIU

Thyla Van Der Merwe a BIU, 02 de maig de 2016

TLS: Passat, Present, Futur des de vpnMentor

Anàlisi automatitzada de TLS 1.3 des de vpnMentor

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me