Kako varnostni strokovnjaki varujejo osebne podatke

2024 Avtor: Malcolm Clapton | [email protected]. Nazadnje spremenjeno: 2023-12-17 04:10

Ali se je smiselno odpovedati javnim Wi-Fi in bančnim aplikacijam ter pridobiti ločeno kartico za spletne nakupe - mnenje strokovnjaka za informacijsko varnost.

Polovica mojih kolegov na področju informacijske varnosti je profesionalnih paranoikov. Do leta 2012 sem bil tudi sam tak - bil sem v celoti šifriran. Potem sem spoznal, da tako dolgočasna obramba moti delo in življenje.

V procesu "izhoda ven" sem razvil takšne navade, ki vam omogočajo, da mirno spite in hkrati ne gradite kitajskega zidu. Povem vam, katera varnostna pravila zdaj obravnavam brez fanatizma, ki jih občasno kršim in jih z vso resnostjo upoštevam.

Prekomerna paranoja

Ne uporabljajte javnega omrežja Wi-Fi

Uporabljam in se glede tega ne bojim. Da, pri uporabi brezplačnih javnih omrežij obstajajo grožnje. Toda tveganje se zmanjša z upoštevanjem preprostih varnostnih pravil.

1. Prepričajte se, da dostopna točka pripada kavarni in ne hekerju. Pravna točka zahteva telefonsko številko in pošlje SMS za vstop.
2. Za dostop do omrežja uporabite povezavo VPN.
3. Ne vnašajte uporabniškega imena/gesla na nepreverjenih spletnih mestih.

Nedavno je brskalnik Google Chrome začel celo označevati strani z nezavarovanimi povezavami kot nevarne. Na žalost so spletna mesta z lažnim predstavljanjem nedavno sprejela prakso pridobivanja certifikatov, da bi posnemala resnična.

Torej, če se želite prijaviti v kakšno storitev prek javnega Wi-Fi-ja, vam svetujem, da se prepričate, da je stran stokrat originalna. Praviloma je dovolj, da zaženete njegov naslov prek storitve whois, na primer Reg.ru. Najnovejši datum registracije domene bi vas moral opozoriti - spletna mesta z lažnim predstavljanjem ne trajajo dolgo.

Ne prijavljajte se v svoje račune iz naprav drugih ljudi

Vstopim, vendar nastavim preverjanje pristnosti v dveh korakih za družbena omrežja, pošto, osebne račune, spletno stran državne službe. Tudi to je nepopoln način zaščite, zato je Google denimo začel uporabljati strojne žetone za preverjanje identitete uporabnika. Toda za zdaj je za "proste smrtnike" dovolj, da bo vaš račun zahteval kodo iz SMS-a ali iz Google Authentificatorja (v tej aplikaciji se nova koda generira vsako minuto na sami napravi).

Kljub temu priznam majhen element paranoje: redno preverjam zgodovino brskanja, če bi kdo drug vstopil v mojo pošto. In seveda, če se v svoje račune prijavim iz naprav drugih ljudi, na koncu dela ne pozabim klikniti »Končaj vse seje«.

Ne nameščajte bančnih aplikacij

Varneje je uporabljati aplikacijo za mobilno bančništvo kot spletno bančništvo v namizni različici. Tudi če je z varnostnega vidika zasnovan idealno, ostaja vprašanje ranljivosti samega brskalnika (in teh je veliko), pa tudi ranljivosti operacijskega sistema. Zlonamerno programsko opremo, ki krade podatke, je mogoče vbrizgati neposredno vanj. Zato, tudi če je sicer spletno bančništvo popolnoma varno, ta tveganja ostajajo več kot resnična.

Kar zadeva bančno aplikacijo, je njena varnost v celoti na vesti banke. Vsak od njih je podvržen temeljiti analizi varnosti kode, pogosto so vključeni zunanji ugledni strokovnjaki. Banka lahko blokira dostop do aplikacije, če ste zamenjali kartico SIM ali jo celo preprosto premaknili v drugo režo na pametnem telefonu.

Nekatere najbolj varne aplikacije se sploh ne zaženejo, dokler niso izpolnjene varnostne zahteve, na primer telefon ni zaščiten z geslom. Če se torej tako kot jaz načeloma niste pripravljeni odreči spletnim plačilom, je bolje uporabiti aplikacijo in ne namizno spletno bančništvo.

Seveda to ne pomeni, da so aplikacije 100% varne. Tudi najboljši kažejo ranljivosti, zato so potrebne redne posodobitve. Če menite, da to ni dovolj, preberite specializirane publikacije (Xaker.ru, Anti-malware.ru, Securitylab.ru): tam bodo napisali, če vaša banka ni dovolj varna.

Za spletne nakupe uporabite ločeno kartico

Osebno menim, da je to nepotrebna težava. Imel sem ločen račun, da sem po potrebi nakazoval denar z njega na kartico in plačeval nakupe na internetu. Toda tudi to sem zavrnil - škodi udobju.

Hitreje in ceneje je pridobiti virtualno bančno kartico. Ko z njim opravljate nakupe na spletu, podatki glavne kartice na internetu ne zasvetijo. Če menite, da to ni dovolj za popolno zaupanje, sklenite zavarovanje. To storitev ponujajo vodilne banke. V povprečju bo zavarovanje kartice pri ceni 1000 rubljev na leto krilo škodo v višini 100.000.

Ne uporabljajte pametnih naprav

Internet stvari je ogromen in v njem je celo več groženj kot v tradicionalnem. Pametne naprave so res polne izjemnih možnosti za vdiranje.

V Združenem kraljestvu so hekerji prek pametnega termostata vdrli v lokalno omrežje igralnic s podatki VIP strank! Če se je igralnica izkazala za tako negotovo, kaj reči o navadnem človeku. Uporabljam pa pametne naprave in nanje ne lepim kamer. Če TV in združite informacije o meni - k vragu. Vsekakor bo nekaj neškodljivega, saj vse kritično shranim na šifriran disk in hranim na polici – brez dostopa do interneta.

Izklopite telefon v tujini v primeru prisluškovanja

V tujini najpogosteje uporabljamo messengerje, ki odlično šifrirajo besedilna in zvočna sporočila. Če je promet prestrežen, bo vseboval le neberljiv "nered".

Tudi mobilni operaterji uporabljajo šifriranje, a težava je v tem, da ga lahko izklopijo brez vednosti naročnika. Na primer na zahtevo specialnih služb: tako je bilo med terorističnim napadom na Dubrovki, da bi lahko specialci hitro prisluhnili pogajanjem teroristov.

Poleg tega pogajanja prestrežejo posebni kompleksi. Cena zanje se začne od 10 tisoč dolarjev. Niso na voljo za prodajo, so pa na voljo posebnim službam. Če je torej naloga, da te poslušajo, te bodo poslušali. Se bojiš? Potem izklopite telefon povsod in tudi v Rusiji.

Nekako je smiselno

Vsak teden zamenjajte geslo

Pravzaprav je dovolj enkrat na mesec, pod pogojem, da so gesla dolga, zapletena in ločena za vsako storitev. Najbolje je, da upoštevate nasvete bank, ker z naraščanjem računalniške moči spreminjajo zahteve za geslo. Zdaj je šibek kriptoalgoritem z brutalno silo razvrščen v enem mesecu, zato zahteva pogostost spreminjanja gesla.

Vseeno bom naredil rezervacijo. Paradoksalno je, da zahteva po menjavi gesel enkrat na mesec vsebuje grožnjo: človeški možgani so zasnovani tako, da, če je treba nenehno imeti v mislih nove kode, začnejo izhajati. Kot so ugotovili kibernetski strokovnjaki, vsako novo uporabniško geslo v tej situaciji postane šibkejše od prejšnjega.

Rešitev je uporaba kompleksnih gesel, ki jih spreminjate enkrat mesečno, vendar za shranjevanje uporabite posebno aplikacijo. In vhod vanj mora biti skrbno zaščiten: v mojem primeru gre za šifro z 18 znaki. Da, aplikacije imajo greh, da vsebujejo ranljivosti (glej odstavek o aplikacijah spodaj). Izbrati morate najboljšega in spremljati novice o njegovi zanesljivosti. Ne vidim varnejšega načina, da bi v glavi hranil na desetine močnih gesel.

Ne uporabljajte storitev v oblaku

Zgodba o indeksiranju Google Dokumentov v iskanju Yandex je pokazala, koliko se uporabniki motijo glede zanesljivosti tega načina shranjevanja informacij. Osebno uporabljam strežnike v oblaku podjetja za skupno rabo, ker vem, kako varni so. To ne pomeni, da so brezplačni javni oblaki absolutno zlo. Tik preden naložite dokument v Google Drive, se potrudite, da ga šifrirate in vnesite geslo za dostop.

Potrebni ukrepi

Svoje telefonske številke ne puščajte nikomur in nikjer

Vendar to sploh ni dodatna previdnost. Če poznamo telefonsko številko in polno ime, lahko napadalec naredi kopijo kartice SIM za približno 10 tisoč rubljev. V zadnjem času je takšno storitev mogoče dobiti ne samo na temnem omrežju. Ali še lažje - ponovno registrirati telefonsko številko nekoga drugega na sebe z lažnim pooblastilom v pisarni telekomunikacijskega operaterja. Nato lahko številko uporabite za dostop do vseh storitev žrtve, kjer je potrebna dvofaktorska avtentikacija.

Tako kibernetski kriminalci ukradejo račune na Instagramu in Facebooku (na primer, da jim pošljejo neželeno pošto ali jih uporabijo za socialni inženiring), pridobijo dostop do bančnih aplikacij in počistijo račune. Pred kratkim so mediji poročali, kako so v enem dnevu moskovskemu poslovnežu s to shemo ukradli 26 milijonov rubljev.

Bodite previdni, če je vaša kartica SIM prenehala delovati brez očitnega razloga. Bolje je, da igrate na varno in blokirate svojo bančno kartico, to bo upravičena paranoja. Po tem se obrnite na operaterjevo pisarno, da ugotovite, kaj se je zgodilo.

Imam dve SIM kartici. Storitve in bančne aplikacije so vezane na eno številko, ki je ne delim z nikomer. Za komunikacijo in gospodinjske potrebe uporabljam drugo kartico SIM. To telefonsko številko pustim za prijavo na webinar ali pridobitev kartice za popust v trgovini. Obe kartici sta zaščiteni s kodo PIN – to je osnovni, a spregledan varnostni ukrep.

Ne nalagajte vsega v telefon

Železno pravilo. Nemogoče je zagotovo vedeti, kako bo razvijalec aplikacije uporabljal in zaščitil uporabniške podatke. Ko pa se izve, kako jih ustvarjalci aplikacij uporabljajo, se to pogosto spremeni v škandal.

Nedavni primeri vključujejo zgodbo Polar Flow, kjer lahko izveste, kje so obveščevalci po vsem svetu. Ali pa prejšnji primer z Unroll.me, ki naj bi uporabnike ščitil pred naročninami na neželeno pošto, a hkrati prejete podatke prodajal na stran.

Aplikacije pogosto želijo vedeti preveč. Primer iz učbenika je aplikacija Flashlight, ki za delovanje potrebuje le žarnico, a želi vedeti vse o uporabniku, vse do kontaktnega seznama, ogled galerije fotografij in kje je uporabnik.

Drugi zahtevajo še več. UC Browser pošlje IMEI, Android ID, MAC naslov naprave in nekatere druge uporabniške podatke strežniku Umeng, ki zbira informacije za tržnico Alibaba. Tako kot moji kolegi bi takšno vlogo najraje zavrnil.

Tudi profesionalni paranoični ljudje tvegajo, vendar so zavestni. Da se ne boste bali vsake sence, se odločite, kaj je v vašem življenju javno in kaj zasebno. Zgradite zidove okoli osebnih podatkov in ne pasti v fanatizem glede varnosti javnih informacij. Potem, če nekega dne najdete te javne informacije v javni domeni, ne boste strašno prizadeti.