Jak specjaliści ds. bezpieczeństwa chronią dane osobowe

2024 Autor: Malcolm Clapton | [email protected]. Ostatnio zmodyfikowany: 2023-12-17 04:07

Czy ma sens rezygnacja z publicznych Wi-Fi i aplikacji bankowych na rzecz osobnej karty do zakupów online – opinia specjalisty ds. bezpieczeństwa informacji.

Połowa moich kolegów z branży bezpieczeństwa informacji to zawodowi paranoicy. Do 2012 sam taki byłem - byłem w całości zaszyfrowany. Wtedy zdałem sobie sprawę, że taka nudna obrona przeszkadza w pracy i życiu.

W trakcie „wychodzenia” wypracowałem takie nawyki, które pozwalają spać spokojnie i jednocześnie nie budować wokół chińskiego muru. Powiem wam, jakie zasady bezpieczeństwa traktuję teraz bez fanatyzmu, które od czasu do czasu łamię i których przestrzegam z całą powagą.

Nadmierna paranoja

Nie używaj publicznego Wi-Fi

Używam i nie mam obaw w tym zakresie. Tak, podczas korzystania z bezpłatnych sieci publicznych istnieją zagrożenia. Ale ryzyko jest zminimalizowane poprzez przestrzeganie prostych zasad bezpieczeństwa.

1. Upewnij się, że hotspot należy do kawiarni, a nie do hakera. Punkt prawny prosi o numer telefonu i wysyła SMS-a, aby wejść.
2. Użyj połączenia VPN, aby uzyskać dostęp do sieci.
3. Nie wpisuj nazwy użytkownika/hasła na niezweryfikowanych witrynach.

Ostatnio przeglądarka Google Chrome zaczęła nawet oznaczać strony z niezabezpieczonymi połączeniami jako niebezpieczne. Niestety, strony phishingowe przyjęły ostatnio praktykę uzyskiwania certyfikatu w celu naśladowania prawdziwych.

Jeśli więc chcesz zalogować się do jakiegoś serwisu za pomocą publicznego Wi-Fi, radziłbym upewnić się, że strona jest oryginalna sto razy. Z reguły wystarczy uruchomić jego adres za pośrednictwem serwisu whois, na przykład Reg.ru. Najpóźniejsza data rejestracji domeny powinna Cię ostrzec - strony phishingowe nie trwają długo.

Nie loguj się na swoje konta z urządzeń innych osób

Wchodzę, ale skonfigurowałem uwierzytelnianie dwuetapowe dla sieci społecznościowych, poczty, kont osobistych, strony internetowej State Service. Jest to również niedoskonała metoda ochrony, dlatego np. Google zaczął wykorzystywać tokeny sprzętowe do weryfikacji tożsamości użytkownika. Ale na razie „zwykłym śmiertelnikom” wystarczy, że Twoje konto zażąda kodu z SMS-a lub z Google Authentificator (w tej aplikacji nowy kod jest generowany co minutę na samym urządzeniu).

Mimo to przyznaję się do małego elementu paranoi: regularnie sprawdzam historię przeglądania na wypadek, gdyby ktoś inny wszedł do mojej poczty. I oczywiście, jeśli loguję się na swoje konta z urządzeń innych osób, pod koniec pracy nie zapominam kliknąć „Zakończ wszystkie sesje”.

Nie instaluj aplikacji bankowych

Bezpieczniej jest korzystać z aplikacji bankowości mobilnej niż bankowości internetowej w wersji desktopowej. Nawet jeśli jest zaprojektowany idealnie z punktu widzenia bezpieczeństwa, pytanie pozostaje z lukami w samej przeglądarce (a jest ich wiele), a także z lukami w systemie operacyjnym. Złośliwe oprogramowanie, które kradnie dane, może zostać do niego wprowadzone bezpośrednio. Dlatego nawet jeśli w inny sposób bankowość internetowa jest całkowicie bezpieczna, ryzyko to pozostaje bardziej niż realne.

Jeśli chodzi o aplikację bankową, to jej bezpieczeństwo w całości spoczywa na sumieniu banku. Każdy z nich poddawany jest wnikliwej analizie bezpieczeństwa kodu, często zaangażowani są zewnętrzni wybitni eksperci. Bank może zablokować dostęp do aplikacji, jeśli zmienisz kartę SIM lub po prostu przeniesiesz ją do innego slotu w swoim smartfonie.

Niektóre z najbezpieczniejszych aplikacji nie uruchamiają się, dopóki nie zostaną spełnione wymagania bezpieczeństwa, na przykład telefon nie jest chroniony hasłem. Dlatego jeśli tak jak ja nie jesteś gotowy na rezygnację z płatności internetowych w zasadzie, lepiej skorzystać z aplikacji, a nie bankowości internetowej na komputerze stacjonarnym.

Oczywiście nie oznacza to, że aplikacje są w 100% bezpieczne. Nawet najlepsze wykazują luki w zabezpieczeniach, dlatego konieczne są regularne aktualizacje. Jeśli uważasz, że to nie wystarczy, przeczytaj specjalistyczne publikacje (Xaker.ru, Anti-malware.ru, Securitylab.ru): napiszą tam, jeśli Twój bank nie jest wystarczająco bezpieczny.

Do zakupów online używaj osobnej karty

Osobiście uważam, że to niepotrzebne kłopoty. Miałem osobne konto, żeby w razie potrzeby przelać z niego pieniądze na kartę i zapłacić za zakupy w Internecie. Ale też tego odmówiłem - szkodzi to pocieszeniu.

Szybciej i taniej jest otrzymać wirtualną kartę bankową. Kiedy robisz za jej pomocą zakupy online, dane karty głównej w Internecie nie są podświetlane. Jeśli uważasz, że to nie wystarczy, aby mieć całkowitą pewność, wykup ubezpieczenie. Ta usługa jest oferowana przez wiodące banki. Średnio kosztem 1000 rubli rocznie ubezpieczenie karty pokryje szkody w wysokości 100 000.

Nie używaj inteligentnych urządzeń

Internet Rzeczy jest ogromny, a zagrożeń w nim jest jeszcze więcej niż w tradycyjnym. Inteligentne urządzenia są naprawdę obarczone ogromnymi możliwościami włamania.

W Wielkiej Brytanii hakerzy włamali się do lokalnej sieci kasyn z danymi klientów VIP za pomocą inteligentnego termostatu! Skoro kasyno okazało się tak niepewne, to co powiedzieć o zwykłej osobie. Ale używam inteligentnych urządzeń i nie przyklejam do nich kamer. Jeśli telewizor i scali informacje o mnie - do diabła z tym. Na pewno będzie to coś nieszkodliwego, bo wszystko, co krytyczne, przechowuję na zaszyfrowanym dysku i trzymam na półce – bez dostępu do internetu.

Wyłącz telefon za granicą w przypadku podsłuchu

Za granicą najczęściej korzystamy z komunikatorów, które doskonale szyfrują wiadomości tekstowe i dźwiękowe. Jeśli ruch zostanie przechwycony, będzie zawierał tylko nieczytelny „bałagan”.

Operatorzy komórkowi również stosują szyfrowanie, ale problem polega na tym, że mogą je wyłączyć bez wiedzy abonenta. Na przykład na prośbę służb specjalnych: tak było podczas ataku terrorystycznego na Dubrowkę, żeby służby specjalne mogły szybko przysłuchiwać się negocjacjom terrorystów.

Ponadto negocjacje są przechwytywane przez specjalne kompleksy. Cena za nie zaczyna się od 10 tysięcy dolarów. Nie są dostępne w sprzedaży, ale są dostępne dla służb specjalnych. Więc jeśli zadaniem jest cię słuchać, oni cię wysłuchają. Boisz się? Następnie wyłącz telefon wszędzie, a także w Rosji.

To ma sens

Zmieniaj hasło co tydzień

Tak naprawdę wystarczy raz w miesiącu, pod warunkiem, że hasła są długie, złożone i oddzielne dla każdej usługi. Najlepiej posłuchać rad banków, ponieważ wraz ze wzrostem mocy obliczeniowej zmieniają one wymagania dotyczące haseł. Teraz słaby kryptoalgorytm jest rozwiązywany metodą brute-force w ciągu miesiąca, stąd wymóg częstotliwości zmian hasła.

Zrobię jednak rezerwację. Paradoksalnie wymóg zmiany hasła raz w miesiącu niesie ze sobą zagrożenie: ludzki mózg jest tak skonstruowany, że jeśli trzeba ciągle pamiętać o nowych kodach, zaczyna się on wydostawać. Jak odkryli cybereksperci, każde nowe hasło użytkownika w tej sytuacji staje się słabsze od poprzedniego.

Rozwiązaniem jest używanie skomplikowanych haseł, zmiana ich raz w miesiącu, ale korzystanie ze specjalnej aplikacji do przechowywania. A wejście do niego musi być starannie zabezpieczone: w moim przypadku jest to szyfr składający się z 18 znaków. Tak, aplikacje mają grzech polegający na zawieraniu luk w zabezpieczeniach (patrz akapit o aplikacjach poniżej). Musisz wybrać najlepszą i śledzić wiadomości o jej niezawodności. Nie widzę jeszcze bezpieczniejszego sposobu na przechowywanie w głowie dziesiątek silnych haseł.

Nie korzystaj z usług w chmurze

Historia indeksowania Dokumentów Google w wyszukiwarce Yandex pokazała, jak bardzo użytkownicy mylą się co do wiarygodności tej metody przechowywania informacji. Osobiście korzystam z firmowych serwerów w chmurze do udostępniania, ponieważ wiem, jak bardzo są bezpieczne. Nie oznacza to, że darmowe chmury publiczne są absolutnym złem. Tuż przed przesłaniem dokumentu na Dysk Google zaszyfruj go i wprowadź hasło dostępu.

Niezbędne środki

Nie zostawiaj swojego numeru telefonu nikomu i nigdzie

Ale to wcale nie jest dodatkowy środek ostrożności. Znając numer telefonu i imię i nazwisko, atakujący może wykonać kopię karty SIM za około 10 tysięcy rubli. Od niedawna taką usługę można uzyskać nie tylko w darknecie. Lub jeszcze łatwiej - ponownie zarejestrować numer telefonu innej osoby za pomocą fałszywego pełnomocnictwa w biurze operatora telekomunikacyjnego. Następnie numer może być wykorzystany do uzyskania dostępu do dowolnych usług ofiary, w których potrzebne jest uwierzytelnianie dwuskładnikowe.

W ten sposób cyberprzestępcy kradną konta na Instagramie i Facebooku (na przykład w celu wysyłania z nich spamu lub wykorzystywania ich do socjotechniki), uzyskują dostęp do aplikacji bankowych i czyszczą konta. Niedawno media poinformowały, jak w ciągu jednego dnia skradziono moskiewskiemu biznesmenowi 26 milionów rubli za pomocą tego schematu.

Zachowaj ostrożność, jeśli Twoja karta SIM przestała działać bez wyraźnego powodu. Lepiej zachować ostrożność i zablokować kartę bankową, będzie to uzasadniona paranoja. Następnie skontaktuj się z biurem operatora, aby dowiedzieć się, co się stało.

Mam dwie karty SIM. Usługi i aplikacje bankowe są powiązane z jednym numerem, którego nikomu nie udostępniam. Używam innej karty SIM do komunikacji i potrzeb domowych. Zostawiam ten numer telefonu, aby zarejestrować się na webinar lub otrzymać kartę rabatową w sklepie. Obie karty są chronione kodem PIN - jest to prymitywny, ale pomijany środek bezpieczeństwa.

Nie pobieraj wszystkiego na swój telefon

Żelazna zasada. Nie ma pewności, w jaki sposób twórca aplikacji będzie wykorzystywał i chronił dane użytkownika. Ale kiedy dowiaduje się, w jaki sposób twórcy aplikacji z nich korzystają, często przeradza się to w skandal.

Ostatnie przypadki obejmują historię Polar Flow, w której można dowiedzieć się, gdzie przebywają oficerowie wywiadu na całym świecie. Albo wcześniejszy przykład z Unroll.me, który miał chronić użytkowników przed subskrypcjami spamowymi, ale jednocześnie sprzedawał na bok otrzymane dane.

Aplikacje często chcą wiedzieć za dużo. Podręcznikowym przykładem jest aplikacja Latarka, która do działania potrzebuje tylko żarówki, ale chce wiedzieć o użytkowniku wszystko, co do listy kontaktów, galerii zdjęć i lokalizacji użytkownika.

Inni żądają jeszcze więcej. UC Browser wysyła IMEI, Android ID, adres MAC urządzenia i niektóre inne dane użytkownika na serwer Umeng, który zbiera informacje dla rynku Alibaba. Podobnie jak moi koledzy wolałbym odrzucić taki wniosek.

Nawet zawodowi paranoidalni ludzie podejmują ryzyko, ale są świadomi. Aby nie bać się każdego cienia, zdecyduj, co w Twoim życiu jest publiczne, a co prywatne. Buduj mury wokół danych osobowych i nie popadaj w fanatyzm w kwestii bezpieczeństwa informacji publicznych. Wtedy, jeśli pewnego dnia znajdziesz te informacje publiczne w domenie publicznej, nie doznasz straszliwej krzywdy.