Threat Modeling
Siguro nais mo na simulan ang iyong lakbay sa daigdig ng seguridad. Siguro nais mo nang simulan ang iyong pag-iwas sa surveillance capitalism o may datos ka lamang na gusto mong siguraduhing nakaprotekta. Kung oo ang sagot mo o interesante ka lang, ito ang gabay para sa iyo.
Bilang pasimula, dapat alalahanin na ang seguridad ay isang proseso na nagsisimula sa pagpaplano. Dapat magkatugma ang mga panganib na iniiwasan mo sa mga mekanismo at paraan ng proteksyon na gagamitin mo. Ang tawag sa pagpaplano na ito ay threat modeling.
Importante ang threat modeling dahil nakabalanse ang seguridad sa convenience. Pwede mo ngang ibuhos ang kabuoan ng iyong kaluluwa sa inyong proteksyon ng inyong datos pero walang kwenta ito kung hindi mo na magagamit ang datos na iyon. Ang pinakaligtas na laptop o cellphone ay isa na nakabaon sa lupa pero hindi mo na rin ito magagamit. Kailangan mo ng threat model para malaman kung ano ang tamang antas ng proteksiyon para sa iyo.
Ang proseso ng threat modeling ay pwedeng ibuod sa limang tanong na ito:
- Ano ang nais kong iprotekta?
- Mula kanino ko dapat ito protektahan?
- Ano ang konsukwensiya kapag nakuha ang datos ko?
- Ano ang probabilidad na kailangan ko itong protektahan?
- Gaanong karaming sagabal ang kakayanin ko?
Ano ang nais kong iprotekta?
Ang posibleng sagot dito ay mga bagay kagaya ng inyong komunikasyon sa inyong pamilya, mga litrato na kinuha mo, mga digital na kopya ng mga IDs mo, ang iyong lokasyon, atbp.
Mula kanino ko dapat ito protektahan?
Sa ibang salita, sino ang mga threats sa threat model mo? Posible itong personal o espesipiko na adversary kagaya ng ex, negosyo na karibal sa iyo, ang iyong manedyer, atbp. Pwede din ito ay pangkalahatan na adversary kagaya ng mga kumpanya o gobyerno kung saan hindi naman ikaw ang espesipiko na target kundi ang mga masa.
Ano ang konsukwensiya kapag nakuha ang datos ko?
Ano ang konsukwensiya kapag nagkamali o hindi gumana ang inyong plano? Ito ay talagang nakadepende sa sitwasyon at adversaries mo. Mababa siguro ang panganib kapag nalaman ng Google ang pangalan mo, pero siguro mataas kung nalaman ng doxxer. Siguro mababa ang panganib na dulot sa iyo ng gobyerno o mataas depende sa kung ano ang ginagawa mo at kung saan ka nakatira.
Ano ang probabilidad na kailangan ko itong protektahan?
Balikan natin ang halimbawa na Google na binigay ko sa naunang seksyon. Siguro maraming alam ang Google tungkol sayo. Alam nila ang browsing history mo, mga bidyo na pinapanood, mga interests at hobbies, atbp., at depende sa kung anong impormasyon ang alam nila, pwede siguro nila siraan ang reputasyon mo.
Pero pwede pa rin natin sabihin na mababa ang panganib na dulot nila dahil mababa ang probabilidad na gagawin nila ang mga ito.
Ano ang probabilidad na itatarget ka ng mga adversaries na pinili mo? Para sa mga pangkalahatang pagkolekta ng datos kagaya ng ginagamit ng Google, pwedeng mataas ang risk dahil lagi kang gumagamit ng kanilang services o mababa dahil hindi ka gumagamit ng kanilang services. Para sa mga espesipikong hacking attempts, siguro mababa naman dahil hindi ka importanteng tao o pwede mataas dahil CEO ka ng inyong kumpanya.
Gayunpaman, ang proseso ng risk assessment ay subhektibo rin. Siguro mababa nga ang probabiildad na iha-hack ka pero ang mababang probabilidad na iyon ay hindi pa rin katanggap-tanggap para sa iyo.
Gaanong karaming sagabal ang kakayanin ko?
Kagaya ng sinabi ko kanina, nakabalanse ang seguridad sa convenience. Pwede kang maglagay ng sobrang daming proteksyon na hindi mo na magagamit ang iyong kompyuter o magawa ang nais mong gawin.
Ok lang ba sa iyo na gumamit ng espesyal na app para sa komunikasyon dahil encrypted ito? Ok lang ba sa iyo na magpalit ng OS o ng phone? Ok lang ba na pwede mo lang gawin ang banking mo sa espesipikong laptop? Nakadepende talaga ito sa iyo.
Halimbawa ng Threat Model
Nais kong iprotekta ang aking mga dokumento sa aking phone at laptop mula sa mga pisikal na atake. Malala ang konsukwensiya kapag na-leak ang ilang mga dokumento dahil kasama dito ang aking mga Valid I.Ds. Ang probabilidad na ma-target ako ay mababa, ngunit may chance na ma-iwan ko ang aking laptop o phone sa pampublikong lugar kung saan sila pwedeng kunin. Payag ako sa kaunting sagabal.
Ngayon na alam ko na ito, pwede na akong magsimulang maghanap ng solusyon. May mga ilang sites kagaya ng https://ssd.eff.org/ na nagbibigay ng payo na pwede kong gamitin. Sa aking pananaliksik, nalaman ko na pwede kong i-encrypt ang aking phone at laptop, at dahil sa encryption na iyon, hindi na pwedeng makuha ang dokyumento ko gamit ng pisikal na access. Ang sagabal na dulot ay mababa rin dahil kailangan ko lang mag-enter ng password pag nag-start up yung laptop at phone.
Dahil magkatugma ang solusyon na ito sa aking problema at threat model, mahusay siyang solusyon at ginamit ko na ang encryption sa aking laptop at phone.
Huling Paalala
Itong artikulo ay nagsisilbing panimula lamang. Kailangan mong manaliksik pa para makakuha ng aktwal solusyon, at may mga websites naman din na naglilista ng mga solusyon na pwede mong gamitin.
Ang nais ko lang bigyang-diin sa artikulo na ito ay ang realidad na ang seguridad ay hindi “state” na pwede mong makamit kapag ginawa mo lang ang mga hakbang na ito. Ito ay isang gradient kung saan kailangan mong hanapin kung saan ka komportable. May reputasyon ang seguridad na kailangang 100% l33t hacker mode ka. Kailangang gumagamit ng Linux, naka-terminal, may mga berde na teksto na lumilipad sa iyong screen, pero hindi naman ito totoo. Magka-iba ang ating priyoridad at sitwasyon, at nag-iiba rin ang ating kinakailangan na proteksyon at seguridad. Pwedeng mag-iba ang iyong security plan dahil nagbago ang iyong sitwasyon. Ok lang yun dahil ang seguridad ay proseso at subhektibo.
Sanggunian
Electronic Frontier Foundation. (n.d.). Your Security Plan. Surveillance Self-Defense. Retrieved November 14, 2022, from https://ssd.eff.org/module/your-security-plan